ID Hora de início Hora de conclusão Companhia

Nome/RazãodeSocial
Geração e
Transmissão de Energia Elétrica do
37 7/23/20 15:50:27 7/23/20 16:03:20 Sul do Brasil - CGT Eletrosul
56 7/24/20 16:10:42 7/24/20 16:41:05 Furnas Centrais Elétricas SA
38 7/23/20 21:19:03 7/23/20 21:46:03 Light Serviços de Eletricidade S.A
42 7/24/20 10:06:09 7/24/20 10:16:16 ENGIE BRASIL ENERGIA S.A.
Centrais Elétricas Brasileiras S/A -
63 7/24/20 20:41:33 7/24/20 20:45:18 ELETROBRAS
61 7/24/20 17:24:52 7/24/20 18:04:08 Alupar Investimento S A
24 6/1/20 9:06:36 6/1/20 9:51:35 Interligação Elétrica do Madeira SA
36 7/22/20 9:26:16 7/23/20 9:38:34 01.248.530/0001-16
Abraceel - Associação Brasileira dos
45 7/24/20 11:02:18 7/24/20 11:05:28 Comercializadores de Energia
59 7/24/20 16:30:47 7/24/20 17:53:05 Quantum Participações S.A.
Companhia Hidro Elétrica do São
58 7/24/20 16:33:07 7/24/20 17:50:34 Francisco - Chesf
Centrais Eletricas Brasileiras S/A -
62 7/24/20 20:15:58 7/24/20 20:41:30 COMPANHIA
Eletrobras DE TRANSMISSÃO DE
ENERGIA ELÉTRICA PAULISTA -
46 7/24/20 11:06:34 7/24/20 11:14:20 CTEEP
Companhia Energética de Minas
57 7/24/20 17:11:28 7/24/20 17:25:22 Gerais
41 7/24/20 8:28:24 7/24/20 9:47:25 Energisa S.A.
54 7/24/20 15:34:00 7/24/20 15:51:04 Neoenergia S.A.
60 7/24/20 17:26:48 7/24/20 17:53:30 Grupo CPFL Energia
64 7/24/20 20:48:41 7/24/20 20:51:09 EDP Energias do Brasil
55 7/24/20 16:21:40 7/24/20 16:28:31 ENEL Brasil
50 7/24/20 13:54:31 7/24/20 14:10:27 Argo Energia
21 5/28/20 10:35:51 5/28/20 11:13:00 ENEVA S.A.
19 5/27/20 14:26:10 5/27/20 15:20:33 Brookfield Energia Renovável
31 7/8/20 10:50:40 7/8/20 11:17:24 Amazonas Energia S.A.
33 7/16/20 15:49:50 7/16/20 15:56:00 Fernando Covatti/CEEE-GT
15 5/25/20 21:58:24 5/25/20 22:48:01 Alexsander Borri
16 5/26/20 9:51:03 5/26/20 10:30:47 Rafael Araujo
TI Safe / TI Safe Segurança
17 5/26/20 14:24:06 5/26/20 14:42:56 Cibernética Industrial LTDA
18 5/27/20 15:17:05 5/27/20 15:18:13 Sup
FRANCISCO IVAN RODRIGUES DE
25 5/28/20 11:18:25 6/2/20 15:08:02 ANDRADE
26 6/2/20 22:31:41 6/2/20 22:37:55 Geraldo Fonseca
Rafael Cesar Medeiros Soares /
27 6/8/20 13:02:48 6/8/20 14:34:52 Schneider Electric Brasil
28 6/8/20 13:01:44 6/8/20 14:35:11 Schneider Electric Brasil
29 6/17/20 12:35:43 6/17/20 12:57:27 Dr. Ricardo Siqueira de Carvalho
32 7/13/20 11:34:25 7/13/20 11:35:06 Wagner Hiroshi
State Grid BrazilUeno / Senai
Holding
Instituto Senai de Tecnologia da
34 7/20/20 10:26:12 7/20/20 11:08:16 Informação e Comunicação
 ABRATE - Associação Brasileira da
Empresas de Transmissão de
35 7/22/20 11:10:49 7/22/20 11:32:25 COMITÊ NACIONAL BRASILEIRO DE
Energia Elétrica
PRODUÇÃO E TRANSMISSÃO DE
39 7/23/20 21:47:57 7/23/20 21:55:40 ENERGIA ELÉTRICA – CIGRÉ-BRASIL
Siemens Infraestrutura e Indústria
40 7/23/20 21:59:24 7/23/20 22:11:09 Ltda
ABDIB - Associação
Instituto Brasileira
Brasileiro de Defesa dado
43 7/24/20 10:18:19 7/24/20 10:24:55 Infraestrutura
Consumidor - Idece Indústrias de Base-
Comitê de Transmissão de Energia
44 7/24/20 8:59:13 7/24/20 11:04:19 Elétrica
47 7/24/20 10:59:19 7/24/20 11:14:38 Norsk Hydro
Operador Nacional do Sistema
48 7/24/20 10:34:33 7/24/20 11:15:51 Elétrico - ONS
ASSOCIAÇÃO UTC AMERICA LATINA
49 7/24/20 11:24:04 7/24/20 12:32:10 Associação
- UTCAL Brasileira das Empresas
Geradoras de Energia Elétrica -
51 7/24/20 14:41:42 7/24/20 15:03:54 ABRAGE
52 7/24/20 9:36:10 7/24/20 15:12:34 Associação Brasileira
Instituto Acende Brasilde
Distribuidores de Energia Elétrica -
53 7/24/20 15:24:20 7/24/20 15:33:44 ABRADEE
Qual a sua relação com a
segurança cibernética no setor
elétrico?
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Agente prestador de serviço de
energia elétrica.
Funcionário CPFL
Fornecedor
Consumidorde Segurança
Cibernética Industrial para
empresas de Energia
Agente prestador de serviço de
energia elétrica.
Gestor de TIC e Automação
com foco em Segurança
Operador
Fornecedor de tecnologia.
Fornecedor de tecnologia.
Fornecedor de tecnologia.
Transmissora
Fornecedor de tecnologia.
Associação Brasileira da
Empresas de Transmissão de
Energia Elétrica - ABRATE
No Brasil, a Hydro é
Associação
consumidora Profissional
industrial e
comercializadora. Na Noruega,
Fornecedor de tecnologia.
detemos e operamos
capacidade
Usuário de geração, somos
consumidores e
comercializadores.
Associação Além disso,
prestamos alguns serviços no
mercado elétrico.
Operador
Associação de empresas do
setor elétrico
Associação
Consultoria e Centro de
pesquisas
Associação setorial
•Firewall de borda na conexão com a rede corporativa ou externa controlando serviços e direcionalidade
-•Todos Proibição de acesso
os ativos possuemde equipamentos
senhas de serviços operativos à Internet
-•Equipamentos
Restrição ao uso dede Notebooks
trabalho de Configuração
portáteis (notebooks)esob Manutenção
gestão da de TI –Fornecedores
Atualizações e politicas de segurança cibernética
-•Ambiente Inventáriocomputacional
de Ativos dos sistemas de supervisão e controle baseados em Linux
-•Constituição
Gerência de Performance
de Comitê deeSegurança Falhas; Cibernética da Rede Industrial com representantes das áreas responsáveis pela infr
-– Gerenciamento
TI e Telecomunicações. Alémdos
centralizado equipamentos
disso, representantes de segurança
dos usuários: Projeto, Operação e Manutenção. Comitê se reporta à
-Quais Controle de Patches e dos sistemas operacionais
as políticas e as práticas de segurança cibernética e utilização
a empresade Antivírus
adota no dedicado
Brasil? Qualao ambiente
legislaçãodenacional
automação. e quais norma
-Normas Utilização de Jump Server
de referência:
-Framework
Utilização de para Nuvem
redesprivada
operativas de análise de ameaças
da Associação “zero-day”
Brasileira das Empresas de Transmissão de Energia Elétrica (Abrate).
- Monitoramento dos logs dos equipamentos de segurança
A LIGHT adotade
- Participação uma política
comitês de segurança
e grupos da informação
de segurança da informaçãobaseadacom nasoutras
normas NBR ISO/IEC
empresas 27001
do ramo taise como
NBR ISO/IEC
COTISE,27002ABRATE, par
segurança cibernética baseadas nos padrões NERC-CIP e no framework de segurança cibernética do NIST - National Institu
Inicialmente,
geração, transmissão reforçamos que o segmento de comercialização entende como muito pertinente a discussão sobre a seguran
e distribuição.
característica,
Adotamos Normas os comercializadores
ABNT-ISO/IEC 27001, de energia – classe ISO
ABNT-ISO/IEC que 27002,
por vezes transaciona
ISA/IEC o maior volume de energia
62443, ANSI/ISA–99.02.01, documentos no mercado
da série
prioridades,
Utilizamos, também, parabenizando Políticaode regulador
Segurança peladapreocupação e disposição em discutir tema tão relevante.
Informação internas.
Nessa linha, entendemos que o segmento de comercialização de energia não se enquadra como uma “infraestrutura crític
A resposta foi
interrupção ouencaminhada
destruição não naprovocaria
primeira contribuição
danos físicos, devido
comoaimpactos
limite de ambientais,
caracteres. econômicos ou à segurança do estado
As políticasda
segurança deinformação,
segurança cibernética
com a adoção são deadotadas
práticascom a finalidade
internas adequadas de atender
às suasas melhores
próprias práticas de sendo
necessidades, segurança essa dos
questãprin
para
A as
empresa equipes
Comercializadoras empresa técnicas
uma
cuja e usuários
Política
estrutura de quanto
Segurança ao uso
da dos recursos
Informação computacionais
baseada nas de
melhores forma segura.
prática do Há
mercadodiversas
usando políticas
como e no
ba
Atualmente
físico
Em e lógico,
relação àstemos
backupuma
práticas política
corporativo,
de segurançadefazmonitoração
parte de bancos,
segurança
cibernética cibernética
do
porbaseado
ambiente
quanto à
exemplo,em
rede e
tendem
boas
gerenciamento
operativa, o
a seguir aEstamos
práticas.
Grupo de
regulamentação
incidentes.
Energisa em processo
segue
específica
políticas deboas
e
para insti
atualização
práticas
geração
procedimento e distribuição,
de redeCSET, onde
do ON a S,
comercializadora
também no NERC poderia ser
framework uma porta
dapela
Abrate, o qualde entrada
consideramos para ataques
muito cibernéticos, há a adoção
As
com práticas
vistas ademitigar
internacionais segurança
NISTIR, riscoscibernética
em NIST, atualmente
ISA62443,
eventuais infraestruturasadotadas
CIP e críticas.
ISO/IEC Chesf
27001 são:
para um bom controle
criação de seu de completo
framework, e abrangente.
acesso, monitoração
composto do am
essencia
segurança
como:
Assim, claras para
dada a variedade todos os empregados,
de empresas dentro auditoria
do segmento nos processos de
de comercialização, segurança, atualização de patches de segurança portp
Como
De formaempresa
mais integradora,
especifica a são de
área seguidas
Tecnologiaas normas indicadas
Operacional - TO pelos
usa clientes.
como Asque
referência
conta com empresas
especificações
o framework técnicas
do NIST,
de pequeno
citam paracom frequên
avaliação
1.
controle Monitoração,
externo gerenciamento
internacional, de
etc., riscos
cada e vulnerabilidades;
As
escritos
2. empresas Eletrobras
internamente,
Políticas de controle adotam,
nem de adota
acesso em níveisuma
normas
adota práticas
e abrangências
internacionais
(interno/externo); por
internas
distintos,
padrão.
de segurança
algumas
A área de
individuais, sendo
recomendações
Tecnologia dada Informação
fundamental
NERC (North - TI American
preser
segue algun Ele
incentivar
críticas. a
Seguem,constante
também, inovação
de tecnológica
forma e
assistemática, não prejudicar
orientações a competição.
do framework do NIST (National Institute of Standards and
práticas no que diz respeito
3. Sistemas de informação e proteção; à segurança cibernética. Cobit, ITIL, ISO 27.001 e NIST são algumas das boas práticas que utiliz
americano.
A
4. empresa Suporte segue os Decretos
e resposta nº 9.637/2018 e nº 10.222/2020 e está se adequando à Lei Geral de Proteção de Dados (Lei
a incidentes;
O
As
Além Grupo
empresas
de CPFL
seguir
5. Sistema de backup; Energia
Eletrobras,
a adota
legislação, aas
suportadasmelhores
Chesf, comonormas
pelos decretos
empresa e práticas
estatal, do
9.367/2018 mercado
e 10.222/2020,
é auditada baseadas
pelos e sustentadas
estão
órgãos desecontrole
adequando emUnião,
da àmetodologias
lei 13.709/2018
como TCU de efram
(Lei
CG
ISO-27001,
normativos
segurança
6. Política ISO-27002,
internos
cibernética
de de do
identificaçãoalém dos
segurança
ambiente
e 20 Controles
cibernética.
computacional,
autenticação; Críticos
Seguem,em de umSegurança
também,
primeiro em elaborados
níveis
momento e pelo Center
abrangências
como for Internet
diferentes,
recomendações, easSecurity –
orientações
mais CIS,
recentement com
das n
A
A
também
Além CEMIG
arquiteturaadota
dispõe
disso, dauma
adotam rede
de umpolítica
operativa
Plano
práticas de
de segurança
adotada
Continuidade
desenvolvidas da
pela informação
ISA
de
internamenteCTEEP foi
Negócio baseada
e
no definida
de uma
âmbito nas normas
seguindo
estrutura
das suas NBR ISO/IEC
alguns
robusta
Diretorias critérios
dede 27001
da Norma
Governança
Operação, e NBR
de ISO/IEC
ISO 27001,
Tecnologia
forma a 27002
que
da
mitigar pa
sein
Inf
7.
segurança Inventário deassim
cibernética ativos da redenos operativa;
arquitetura
Information
As políticas
áreas de para
and Related
definidas
negócio doebaseadas
estabelecermos
já Technology
consolidadas
grupo Neoenergia
padrões
os adotam
– COBIT,
foram NERC-CIP
requisitos
focada
implantadas nae aplicação
políticas
noe framework
necessários estãopara
próprias
depraticadas
dedediversas
sendo segurança
garantir práticasporcibernética
a segurança de controle
meio de dodaNIST
cibernética do - National
emambiente
informação.
procedimentos Institu
opera
operacion
8.
geração,
Atualmente,Topologia de
transmissão
estamos redese segmentadas;
distribuição,
desenvolvendo além
as de criptografar
políticas e normas toda
internas desegurança
trocaorientadas
informação pela
cibernética
de medição
CIP/NERC,
baseadas
a entre
fim deCEMIG, diretrizes
assegurar CCEE e globa
todas clien
as
Iberdrola
9.
O
Como Sistemas
Grupo (suadesenvolveu
Enel
exemplo acionista
de deprevenção
práticas ede
de intrusão;
mantém
segurança um framework
cibernética, global
a CEMIG de cibersegurança
possui um Centro baseado
de em
Operação normas
de reconhecidas
Segurança (SOC) internaci
que gere
oajoritária)
No framework
âmbito da
tem utilizado
segurança
atuação. como da
Cada referência
informação,
área de por
negócioempresas
ressalta-se que
participa do osetor
Data
dedas elétrico
umredesCenter
Comitê e
do contemplando
Grupo CPFL
de Cibersegurança os itens
Energia
Global exigidos
possui a pela proposta
certificação
constituído ABNT
poraomembros do IS
10.
and
ocorrênciasSistema
Technology).ede monitoramento
Esse
correlação framework deestabelece
deorganização
eventos, software
pratica amalicioso;
osegregação
modelo operacional, a governança
corporativa e os processos
e operativa, sendo relacionados
o barramento gerencia
de do
proce
informação
está
11. presente
Avaliação e indica
em que
grupos de
de segurança a de segurança
trabalhos
e autorização. adota
iniciados um modelo
nestes por adequado
comitês. de estabelecimento,
As diretrizes e políticas implementação
globais são baseadas de e operação
emtecnologia
padrões e Sis
processos
demais. do framework são suportados políticas e diretrizes que cobrem as necessidades
cibernética
de sistemas adotados
e aplicações.internacionalmente, inclusive nos países onde a Iberdrola tem atuação.
Ademais,políticas o Sistema
e políticas
controle Avançado de Gestão da Distribuição (Advanced Distribution Management Systempelo – ADMS)grupodas distribu
As principais
segurança danegócios
informação, ede Segurança
diretrizes
baseando-sede da rede
segurança Operativa
nas normas cibernéticaencontram-se
enormas
padrões adotadas
de proteção
em processo
pelo grupo de documentação
envolvem:
de infraestrutura crítica da North
ENERGISA
American Elec
No Brasil,
•recomendadas os
Definição dos também
processos estão
do Schneider submetidos
frameworkElectric. às
de segurança e políticas
cibernética, da
papeisárea corporativa
e responsabilidades de Segurança
do modelo Digital da
funcionalNeoeneecogo
Cibersegurança. pelo fornecedor
A área de eSegurança Digital No contexto do ADMS, o Grupo CPFL Energia
também monitora o cumprimento da legislação brasileira pelos negócios, incl dispõe de um contrato
•realização
Política de Segurança Classificação da Informação
de avaliações técnicas e de testes de penetração, comumente conhecidos como pentests, baseando-se em uma
•testes Políticas
em quedeo Governança
invasor dispõe dede Privacidade
acesso prévio e Proteçãoa algumas de Dados no modelo
informações organizacional
do sistema, das companhias
sendo necessário explorá-las para obt
•O GrupoPolítica
EDPde Segurança
segue para sistemas
uma Política de Segurançade controle e automação
da Informação industrial
elaborada (ICS)
internamente observando os melhores padrões e
•paraMetodologia de gestão da
a gestão da Segurança de informação.
riscos cibernéticos
• Plano de resposta a Incidentes
Tendo em vista
A empresa adotaa ausência de normativo nacional, a ARGO adota as políticas de segurança energética estabelecidas nas no
como referência:
ISA/IEC
POSIC INTERNA, baseada na ISO 27000.a Lei Geral PD.
62351. Nacional consideramos
Norma NBR&ISO/IEC
ISO 27001 27002, 27001:2013
NIST 8035, LGPD– Tecnologia da InformaçãoMarco
(Lei nº 13.709/2018), – Técnicas deInternet
Civil da Segurança
(Lei–n°
Sistemas de gestão
12.965/2014), da segurançade
Procedimentos d
Norma NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da
Inicialmente
Implantação adaempresa
cultura
Política de segurança utilizou
dade Data as
informação,praticas
Privacy recomendadas
baseada
política de uso no Framework
no framework
aceitável, de combate
política doàNIST,deuma
xcyber
de gestão vez que Anão
terrorismo
incidentes. do haviam
NIST, políticas
este
companhia e práti
framework
precisa atendp
Outras referências utilizadas são a norma do NIST SP 800-82 Rev.2 e as normas
no Brasil será regulamentada pela Lei Geral de Proteção de dados Pessoais – LGPD. do NERC-CIP.

Com o advento do Framework da ABRATE, que tem como sua princípal referência o framework do NIST, a empresa passou
brasileira.

O nosso portfólio de soluções utiliza como referência as Normas internacionais IEC62443, NERC-CIP, podendo ser adaptad
segmento. Seguimos a LGPD e o Decreto Nº 10.222.
O nosso portfólio de soluções utiliza como referência as Normas internacionais IEC62443, NERC-CIP, podendo ser adaptad
e/ou segmento.
Ainda não trabalhamos no Brasil. Pretende-se utilizar as normas da ANEEL como referencia nas questões de SEP e as norm

A empresa tem implementada a Política de Segurança da Informação, através de treinamentos, processos e comunicação.
Segurança da Informação.
4. Centrado no usuário
5. Inovação e Co criação
6. Educação
7. Certificação e Soluções para Infraestruturas Críticas
8. Transparência e Respostas
9. Ambiente Regulatório
10. Iniciativas Conjuntas

No Brasil, a seguimos as mesmas normas definidas pela Casa Matriz.

O grupo tem presença in
Não
Não
Não
Sim
Não
Sim
Não
Sim
Não
Não
Não
Não
Sim
Não
Não
Sim
Sim
Sim
Sim
Sim
Não
Sim
Não
Não

Não

Sim
Sim
Sim

Não
Sim
Quais as políticas e as práticas de segurança cibernética o grupo adota no exterior? Quais normas a empresa
segue como referência no exterior?

O Grupo ENGIE (controlador na França) utiliza as mesmas Normas Internacionais de Segurança.

A empresa empresa uma Política de Segurança da Informação baseada nas melhores prática do mercado
usando como base conceitos da ISO 27001 e framework CIS.

Em algumas de nossas empresas, temos processos certificados na ISO 27001 e, também, seguimos as
diretrizes
Idem respostae boas práticas do NERC CIP; NIST CF e IEC 62443, sem necessariamente recorrer a certificações
anterior.
nesses padrões.
Além disso, somos auditados anualmente pelo Índice Dow Jones de Sustentabilidade (DJSI), que possui um
capítulo específico dedicado à segurança cibernética e segurança da informação, chamado "Proteção da
privacidade, segurança da informação e segurança cibernética".
Todos os anos, o vice-presidente de auditoria corporativa também realiza avaliações de vulnerabilidade,
testes de penetração e análises de segurança das operações de TI e OT de todas as empresas do grupo, por
meio de empresas de auditoria especializadas, como PwC ou KPMG.
Os resultados
As áreas dessasdo
de negócio auditorias geram planos
Grupo Iberdrola seguem depolíticas
ação e melhoria
e normasque de são apresentados
cibersegurança aos comitês
globais deEstas
próprias.
administração e conselhos de administração para avaliação e controle.
diretrizes estão alinhadas com normas e boas práticas internacionais para o setor elétrico. Anualmente, é
realizada
O Grupo Enela avalição
utiliza do
umnível de maturidade
framework global dedos controles e processos
cibersegurança de cibersegurança
implementado por todas as implementados
suas unidades, nos
departamentos
independente dodepaís. Tecnologia da Operação
Seu modelo funcionaldas áreas de negócio
e organizacional e o seu
garante umaresultado é utilizado
governança para direcionar
que integra a
aestratégia
relação investimento
global x nível
considerando de maturidade
requisitos, desejado.
regras e leis específicas de cada país.
As políticas e práticas adotadas são aquelas que o Grupo CPFL Energia já adotam no Brasil, tais como as
Os controles
normas definidos
e padrões são baseados em
de infraestruturas análise
críticas de risco, pelas
do NERC/CIP, diferentesde
metodologias linhas de negócio
framework comoISO-27001,
do NIST,
As tecnologias
distribuição, de proteção
geração, cibernética
transmissão, são discutidas
trading, globalmente
comercialização e em grupos
serviços. de trabalho.
ISO-27002, CIS20, Plano de Continuidade do Negócio e estrutura de Governança de Tecnologia da
A definição dos
Informação controles
baseada é baseadade
nos conceitos em melhores
COBIT, com práticas
ênfase nareconhecidas
aplicação deinternacionalmente,
práticas de controlecomo por
da informação.
exemplo
Conformeocitado
NIST (National
na respostaInstitute of Standards
da questão and EDP
4, o Grupo Technology). Comoas
aplica observa parte da gestão
melhores de risco,
práticas incorpora
e frameworks
A
doArgo é controlada
constantemente
mercado referênciapelas
novos empresas
requisitos
para dasGEB
segurança da(Grupo
leis de Energia
proteção
informação dede
em Bogotá)
dados
suas e REE (Rede
específicas
operações. Elétrica dedeEspanha).
e de controles GEB:
infraestrutura
as políticas
crítica e práticas
em nível de segurança adotadas levam em consideração as normas NERC, NIST e ISO como base
nacional.
para sua elaboração e avaliação periódica. Além disso, há um grupo de trabalho multidisciplinar específico,
composto por órgãos governamentais, exército e empresas de infraestrutura crítica para tratamento do
tema de uma forma ampla e estratégica, sob o ponto de vista nacional.

SOX, GDPR, políticas de segurança da informação, e regulações do setores elétricos locais.

O nosso portfólio de soluções utiliza como referência as Normas internacionais IEC62443, NERC-CIP, podendo
ser adaptado para outras normas de acordo com a legislação local de cada país e/ou segmento.
O nosso portfólio de soluções utilizam como referência as Normas internacionais IEC62443, NERC-CIP,
podendo ser adaptado para outras normas de acordo com a legislação local de cada país e/ou segmento.
Normas de segurança cibernética da North American Electric Reliability Corporation (NERC) conhecidas como
Critical Infrastructure Protection (CIP)
Adotamos as melhores práticas de segurança, bem como na Matriz e em nossas subsidiárias. Adicionalmente
aos itens mencionados na questão anterior, seguimos na Alemanha ainda a regulamentação da BDEW White
Paper (Whitepaper Requirements Österreich for Secure Control and Telecommunication Systems) em
projetos nos quais esse requisito seja necessário.
Há diferença de políticas e práticas

Não

Não

Não

Sim

Sim
Sim
Não
Não
Sim

Sim

Sim
Sim
Sim
Sim
Quais são essas diferenças? Por que razão existem essas diferenças?

As políticas, normas e boas práticas de cibersegurança adotadas no Brasil sempre são

elaboradas com o objetivo do atendimento das políticas, normas e boas práticas globais, uma
vez que as áreas de negócio em cada país são analisadas e avaliadas de acordo com métricas
No Brasil ainda não possuímos a certificação ISO 27001. Além disso, a auditoria Dow Jones som
globais.

No entanto, requisitos regulatórios locais irão guiar as políticas de segurança adotadas em

cada país. No caso dos requisitos regulatórios locais serem menos restritivos que as políticas
de segurança globais, estas últimas serão adotadas (desde que não impactem no
cumprimento dos requisitos regulatórios locais).
No Brasil, seguem-se as estruturas de Segurança da Informação baseadas em normas e padrões

Há diferença de contextos entre o Brasil e estes países, por exemplo: na Colômbia este tema

Diferenças regionais com relação a regulação do setor elétrico e privacidade.

As diferenças são ocasionadas por causa de particularidades das legislações locais e por conta do nível de segurança mínim
As diferenças são ocasionadas por causa de particularidades das legislações locais e por conta do nível de segurança mínim
A segurança cibernética de SEP ainda não e regulamentada no Brasil. Nos Estados Unidos já e regulamentada desde 2005.
Atualmente sim, pois as empresas do setor elétrico brasileiro ainda apresentam investimentos modestos em soluções de C
 inclusive aos equipamentos primários no pátio das subestações, baseados em rede Ethernet com protocolos de
comunicação tornam as consequências de falhas de segurança cibernética muito mais graves para o sistema de
potência. Portanto, as ações de proteção básicas devem garantir a disponibilidade, integridade e
confidencialidade da infraestrutura crítica associada a todas estas aplicações.
•A definição clara
Considerando que das ainda regrasnão permite
há nenhuma aferição norma de aderência
específica asobre
boassegurança
práticas tanto do regulador
da informação para e fiscalizador
o setor elétrico
Devido
quanto
Qual a àà necessidade
própria
abordagem empresa.
mais deadequada
proteger os
de ativos
eventual críticos do setor,
regulação deve-se
(prescritiva, adotar
orientativa,uma abordagem
voltada para prescritiva,
autorregulação desdedo
brasileiro,
que acompanhadajulgamos que
por neste
remuneração, primeiro poismomento
do ponto a regulação
de vista deveria
sistêmico ser
o orientativa,
efeito prático tal
é o como
aumento adotadoda na União
mercado,eentre
Europeia Estados outras)
Unidos. paraAssim,
que osasobjetivos
empresas deteriam
segurança margem cibernética
para sejam plenament...
confiabilidade
Também
Corroboramos seria enecessário
disponibilidade.
com a prever
contribuição Tais
alguma
da medidas
ABDIB de prescritivas
remuneração que a para devem
regulação manutençãoserse
sobre
adaptar
feitas
esse em
datendo
em como
termos
infraestrutura
tema é vista gerais
como
implementar
de
deparasegurança
relevante
novos
estabelecimento
requisitos,
A
de
A Light
padrões
abordagementende
cibernética,
considerando
mínimos,que emdeve
regulatória
tendo semvista
suas
ter
entrar
deve características
uma
evolução em regulação
considerar detalhes
tecnológica
próprias
mínima do
de implementação.
a interligação
e oesforços
negócio,
queentre
prescreva
desejado os também
padrões
agentes
aumento do mínimos
e anível incentivos
a serem seguidos
interoperabilidade
de maturidade.
buscar
dos esistemas,eemaior
a partir
de
prioritária
diferencial
de determinado para o
competitivo.momento
ponto, atual
teruniformidade e deve
uma regulamentação concentrar orientativa com o objetivo
e autorregulada. de manter a
A auto-regulamentação segurança a
pura, deixa
Qualquer
forma a
confiabilidade medida
garantir da que
que
operaçãonão
haja considere
do Sistema o investimento
e isonomia
Interligado na necessário
consecução
Nacionalem (SIN), para da
face adequação
segurança
a sua deixando dos parques
cibernética.
natureza de serviço deve
Também ser orientativa.
deve
público e quais
Ainda
margem
Devido não
considerar está
à adiversidade,
o aspectoclaro
subjetividades atéemque
econômicono ponto
nosso
aspectos eque ascomplicado
já políticas
operacionais
temporal, eme eeventual
sistemas
arcabouço
funcionais, uso instalações
legal
das
regulação, sãoobservando
capazes
brasileiro, nodeSetor
endereçar
as sempre
Elétrico
limitações o problema
as
daempresas
Brasileiro,
indústria.
imprescindível.
seriam
passiveis osacustos
questão Ressalte-se
paradeda liabity ainda
implementar a depender a
sistemasexperiencia
doscom atores internacional
maior que proteção,
interpretem tem demonstrado
tampouco fatos,a por
osconsiderado facilidade que
outro eventuais
de acesso
lado, incidentes
à essas
a autorregulação novas
independentemente
cibernéticos tem gerado abordagem
impactos e regulatória
prejuízos de a ser
valores adotada,
muito deve
elevados,ser o que reforça o estabelecimento
ainda mais a de um
necessidade
ferramentas.
permite
prazo razoável Dessa
flexibilidade para forma,
adequação a
para acompanharregulação
de não deve
a dinâmica de
compatibilidade criar dos barreiras
assunto
agentes de
tãopara entrada
recente,
o para novos
mutável e dos
atendimento e
cheiopequenos
de nuances.
requisitos agentes,
mínimos
de implementação
Entende-se que de medidas
abordagem de segurança.
decibernética,
regulação ada segurança cibernética deve ser orientativa, buscando
tampouco
A regulamentação
estabelecidos burocracias
para poderia que ser
segurança prejudiquem
prescritiva eficiência
ao
de definir
forma os docontroles
que negócio. Além
necessários
os investimentos disso, uma
para regulação
possam segurança
ser planejados muito deaespecífica
das operações, intervenção
acordo mas a
com
mínima.
tende
sem a
entrarIsso
sofrer
especificidade em porque
muitas
detalhes o
e complexidade ambiente
alterações,
técnicos, de tecnológico
devido
de
cada processoao é
rápido
instalação. muito
ou de dinâmico.
avanço
ferramentas Uma
tecnológico, regulação
utilizadas prejudicando
para prescritiva
a sua a pode
estabilidade
execução. inviabilizar
regulatória.
Concordamos
respostas
Como medidasrápidas que eéjustificada
necessária
eficientes
orientativas, uma
para
consideramos abordagem
aorganizado
correção quedas regulatória
fragilidades orientativa
conforme (i) (corregulação),
oconscientização
tipo e membros,
o grau com
dedos o colaboradores
estabelecimento
exposição aoerisco, de
A resposta
Autorregulação:
Autorregulação,
parâmetros
A resposta acima
foimínimos emé
uma
encaminhada que
vez
a serem um
que na pelo
grupo
existem
observadosfato
primeira de que
particularidades
por apoderia
todos
contribuição definição
regula oso
serclara
muito
agentes
devido
sugerido:
comportamento das regras
aespecíficas
integrantes
limite de
ade
dopermitirá
seus
setor
do
caracteres.SIN. aferição
elétrico
Reputamos que de
elaborandoaderência
precisam
aconselhável, sera boas
ao
necessárias
sobre
práticas segurança,
monitorando tanto em asdomomentos
dado
regulador
normas, que de
açõeso crise,
usuário
quanto ou visto
é o
da empresa
códigos que
elo eventuais
mais frágil,
regulada. ataques
masPor também
suasoutro são imprevisíveis.
pode ser
lado, haveria o
Porqueumaelo mais forte
grande de uma
dificuldade em
adaptadas,
mesmo
Além tempo,
disso,
estruturada por esse
que
apolítica
abordagem no segurança
ANEEL
de tocante
adote
orientativa ascuidados
rede
da TO que
permite
informação, (onde
para disciplinam
maior existem
evitar
(ii) a ao questões
máximo
flexibilidade
autenticação
atividades.
o extremamente
aos engessamento
deagentes
senhas para
ecaso
acredito
críticas noque
e o estabelecimento
implantar
credenciais que
novas
fortes,
estamos
tange adiante
de
tecnologias
comlegadas,
mais dee
controlar
de um
latência).
soluções as
parque
muito soluções
totalmente dos
abrangentes diversos
miscigenado, agentes
e adetalhadas no
composto
para tocante por a
a implementação segurança
novas tecnologias
dos cibernética,
mas
programas também
eque não por
respectivas houvesse
tecnologias um
ferramentas, a as
fim
novos
uma requisitos
camada
ordenamento
onde de de
padrão segurança,
proteção, (iii)
(prescritivo), de acordo
gestão de com as melhores
vulnerabilidades,
o que inviabilizaria práticas
como
a einterligação o de
hacker
dos segurança
ético
sistemas vigentes
dedeste objetiva
proteção e adequadas
mapear
e controle as para
falhas
(TO)de de
de quenem
especificidades
segurança,
sempre
a regulação
(iv) ode uso
será
não
seusde
possível
se torneàrapidamente
sistemas.
sistemas
aderência
de detecção
aodefasada
de
novo procedimento
ameaças, obsoleta
entre
de
diante
outras.
rede.da Diante
rápida evolução cenáriode um grupo
tecnologias
com
Devido
combateo ambiente
organizado poderá
à necessidade deadequar
Internet
de segurança (TI).
as
proteger Além
normasos disso,
á todas
ativos empresas
as realidades.
críticos grandes
do setor, e pequenas
deve-se adotar devem igualmenteprescritiva,
uma aabordagem seguir o que será
desde
Os
As
Com baseaos
agentes
próprias
prescrito
que na
acompanhadaemdo ataques
normas
experiência,
regulamentação
por
de
setorvigentes
elétrico já estão
sobre
abordagens
uma
remuneração,
ocibernética.
vez sujeitos
tema,
somente
que
pois ocomo
do
a regulamentos
nível
ponto
adePolítica
orientativas
segurança
de vista
afetos
Nacional
não dogeram
sistêmico
ade segurança,
sistema
o
Segurança
os resultados
seráprático
efeito
exemplo
da
definido Informação
esperados.
é opelo daponto
aumento
LeieRegulação
Sarbanes-
amais
da
Lei Geral dede
frágil da
Oxley,
Proteção
mercado
rede para deaqueles
com
conectada. Dados
indicações que possuem
Pessoais, mais são de
clarasaçõescaráter
e registradas
objetivas orientativo
de na Securities
itens aomandatórios
estabelecer and Exchange
diretrizes
tende a Comission
sergerais,
mais sendo– SEC,
eficiente. essa e Lei
tambémGeral deuma
confiabilidade
Entendemos
Proteção
abordagem e
deusualmente
Dados disponibilidade.
que qualquer
– LGPD, que
estando
aplicada Tais
seja medidas
emasujeitos
forma setores
outros que prescritivas
venha
de igual devem
a seràsadotada,
forma ser
medidas feitas
pela em termos
regulação
punitivas
Em umcorrelatas. gerais,
deverámomento, sem entrar
levar em ao evoluir
Ainda em
Na expansão
detalhes
consideração do sistema
de implementação,
assegurança
regras de deremuneração,
potência
com (autorizações
o estabelecimento
aagentes
que eda
os também
agentesde
economia
leilões) terão
controles
estarão
nacional.
que ser
claros
submetidos considerados
ea auditáveis.
parapor
segundo
fazer os custos
frente aosde
especificamente
nas práticas
implementação de depara o
recursos setor
da de elétrico,
informação
segurança os as empresas
cibernética e de estão
poderiam
sua sujeitos
partir
manutenção. para sanções
a autorregulação.
Se as regras força
forem de descumprimento
claramente
Qualquer
Inicialmente
investimentos
contratual. medida que
o necessários, não
Grupo Energisa considere
expõedevem
os quais o investimento
o entendimento
ser enquadrados necessário
que a eventual para
como reforço. adequação dos parques
regulamentação a ser publicada deve ser pororientativa.
essa
definidas,
Devido
ANEEL à
deve as implementações
heterogeneidade
contemplar das serão
aossegurança equivalentes
instalações no
das instalações Setor o que garantirá
Elétrico
do Sistema segurança
Brasileiro,
Elétrico e equidade
independentemente
Brasileiro (Tecnologiado investimento.
da abordagem
Operacional – OT),
Também
Cabe cabe
reforçar frisar
queadotada, que
os custos diversos
dessa agentes já investiram de alguma forma em tecnologias de segurança
regulatória
não incluindo
cibernética adeser
os ativos
forma deve
e ambientes
proativa, seradequação
por concedido
computacionais
entender a
poderão
aos agentes
importância
ser umaltostempo
corporativos
do
para
tema
os
(Tecnologia
em
agentes.
suficiente
suas
Logo,
dapara
Informação
operações.
é imprescindível
o atendimento
Tais –IT). Esses
recursos dos que
podemúltimos,
ser
haver
em remuneração
requisitos
especial, a serem destespadronização,
são deexigidos
difícil investimentos
quanto à segurança via receita,
tendo em seja
cibernética.
vista queviaos RAP ou via RAG,
ambientes, para queeseja
fabricantes garantidosão
arquiteturas ao agente
muito
perdidos
assegurar na eventualidade
a confiabilidade de uma
e a mesma regulação
integridade prescritiva,
do tratamento uma
dos dadosvez que há
frente o risco
às novas de se determinar
exigências obrigações
deesegurança que
heterogêneos
na prática
Entendemos se dentro
mostrarão
que uma departeuma
em discordância
da regulação empresa;
ao que
deveria entre
já foi
ser empresas
aplicado.
enquadrada decomo
Há um
ainda mesmo
que se grupo
prescritiva, considerar econômico
onde os o impacto
requisitos ainda maise
financeiro
mínimos
O Grupo
controle
entre CPFLmesmos.
dos
diferentes Energia
agentes entendedocumpridos
setor queelétrico
deve ocorrer uma implantação mista da regulação, pois todos os setores
para os
(geração,
O
segmentos
estabelecidos deverão
transmissão,
estabelecimento
de geração,
de ser
distribuição
requisitos
transmissão
e pelosbrasileiro.
e distribuição,
agentes.
comercialização)
regulatórios voltados E estão
outra
para
visto
parte que
conectados
cibersegurança
a hipótese
classificada
em algum
deveria
de regulação
como orientativa,
ponto
ocorrer em em
prescritiva
comum umaetapas:
duas evez
uma quea o
Sempre
certamente
nível de restrito
maturidade à
implicará Tecnologia
de em cada Operacional
adaptações
empresa das
é (OT),
práticas
estabelecido o Grupo
de de Energisa
segurança
acordo e
comentende
tambémas que
num
necessidadesa abordagem
alto custo
de cadade deve ser orientativa,
manutenção.
agente.
invasão
primeira, cibernética
orientativa, em qualquer
iriado permitir nível pode
aos agentes comprometer
se organizarem toda a cadeia.
internamente Sugere-se
para que tal implementação seja
com
baseada
o Órgão
Entende-se nos queRegulador
esse impacto
padrões NERC/CIP,
Setor Elétrico
financeiro,
com o
definindo
uma
objetivo vezde
padrões mínimos
suportado
definir um pela
nível
de segurança
metodologia
mínimo de de aremuneração
segurança
aadequação
serem adotados
da
de suaspelas
aplicável
informação a aser
cada
instalações,
empresas.
negócio, normas erefletirá
certamente políticasem internas
aumento aosda novos
tarifa requisitos
ao consumidor regulatórios propostos e a segunda fase, prescritiva,
final.devem
implementado
seria
Assim,baseada
os agentes na emfiscalização
cada uma
terão um dos do
maiorsegmentos.
cumprimento
flexibilidade Todavia,
para os
destes níveis mínimos
requisitos.
implantar Também
novos ser
entendemos
requisitos dedistribuídos
que deverá
segurança, entre seras com as
de acordo
abordagens
considerado prescritivas
o ressarcimento e orientativas
dos agentes de regulação,
mediante bem como
comprovação
melhores práticas de segurança vigentes e adequadas às características/especificidades de seus sistemas. flexibilizados
de novos em função
investimentos do emporte e
melhoriasimportância
de suas
da
Por instalação
se tratar ano
infraestruturas sistema
para elétrico,
o cumprimento
transmissão de concessãode dosforma deanáloga
novos ao
requisitos,
serviço quetanto
público já(atividade
é considerado
durante nos Procedimentos
a etapa
fortemente orientativa
regulada),quanto com de Rededurante no que
a
tange
etapa às
de instalações
regulação
interdependência estratégicas.
prescritiva
entre agentes Dessa
posterior.
(tendo forma,
em vista buscam-se
o sistema intervenções
ser interligado) mínimas
e por do
sua regulador,
vez uma de forma
plataforma que
Uma
sejam mescla
oportunizadosde prescritiva aosoutros com orientativa.
agentes de tais setores A abordagem
a liberdade orientativa,
de escolha conforme
pela o framework
implantação de novosABRATE, com uma
mecanismos
para
prestação
modelo de de serviço de
maturidade e com segmentos
avaliação das do setor
empresas elétrico,
é entendemos
necessária, uma fundamental
vez que se haver
recomenda regulação,
fazer mesmo
segurança
de
que segurança
mínima, da informação
para os parâmetros que principais
atendam às de suas necessidades.
segurança pois a obrigatoriedade de melhores práticas faria
cibernética
O grupo ENEL com gestão
considera de
que riscos.
seria Porém,
mais devido
adequada asumacaracterísticas
abordagem
O Grupo EDP entende que a Autorregulação através da orientação utilizando os frameworks e melhores práticas do mercado
orientativa regulado
de alto brasileiro,
nível com o uso dacom
que todas
abordagem
estabelecimento as empresas
prescritiva
de éadotassem
uma
princípios
para segurança da informação em ambientes de TI e OT. forma
que tais
de
permitammedidas
criar um e, ao
padrão
atender mesmo
os mínimo tempo,
requisitos de as normas
conformidade.
de segurança adoserem setor criadas
sem seriam
comprometer mais a
eficazes
Toda
autonomia pordas
e qualquer serem específicas
modificação
empresas para
pararegulatória
definição o setor dequeelétrico.
suaexija Umarquitetura,
uma
própria ponto importante
abordagem específica
métodos a sereno considerado
tratamento
modus operandi édaque ostratamento
segurança
para
investimentos
cibernética,
e mitigação dos trazadvindos
impactos
riscos dafinanceiros
referida regulação
identificados, relevantes
respeitados nãoosqueestavadevem
segredos previsto
ser no momento
considerados
industriais nadoremuneração
e de negócio leilão, pois édos impossível
agentes.
prever e mensurar para um período de longo prazo, como é o de uma concessão, todas as mudanças tecnológicas
que podem
Uma abordagem acontecer neste sentido.
orientativa pode ter um impacto menor nos custos de adoção de soluções distintas, já uma
Prescritiva,
abordagem pois tem maiores
prescritiva preve chances
um de adesão
investimento por um número
e padronização que maior
possadecausar empresas,um gasto e facilita as áreas
adicional de
ao setor.
Prescritiva:
Tecnologia & que consideram
Segurança da requisitos
Informação detalhados,
ao obterem aorçamentos.
exemplo dos padrões CIP/Nerc;
Também, deve-se avaliar
Devido a experiência os impactos
já existente em termos
em outros mercados,de segurança,
consultorias riscos e adoção de uma
e fornecedores abordagem
de serviços mais
e soluções
orientativa,
Seria uma
tecnológicas. uma
abordagem vez que mais a abordagem
prescritiva, prescritiva
com as pode
seguintes prevêr
definições: um nivelamento
contratação dasde empresas.
equipes Já uma
especializadas, abordagem
orientativa
aquisições de soluções especializadas em segurança e adoção de metodologias mercadológicas utilizadas o setor)
é menos restritiva em termos de implantação de tecnologias, pode ser mais abrangente(todo
emundialmente
a prova de futuro. comoAoautoregulação
NIST. parece ser valida em setores onde é prevista uma competição entre as
empresas.
Recomendo que a regulação seja orientativa, fornecendo ferramentas para que a ANEEL possa atuar caso
necessite de uma
Autorregulação ouação incisiva. A regulação prescritiva peca por não acertar a correta dose de esforços,
Prescritiva
ignorando as peculiaridades de cada empresa. A regulação deve ser principiológica, podendo exigir alguns
Autorregulação. Penso
requisitos mínimos, que para
de forma queo asetor elétrico
empresa a ANEEL
possa deva ser
se adequar de aacordo
responsável
com seupor regular
porte e auditar as
e natureza.
empresas quanto aos procedimentos de segurança cibernética, tanto para as redes de TI (Tecnologia da
Informação) quanto para TA (Tecnologia de Automação).
Entede-se que deve ser feito em duas etapas: a primeira prescritiva e para a preparação e padronização junto as
concessionárias, e em um segundo momento Aotorregulado para melhor gestão e maior adesão, bem como
revisão, e se necessário inserir dentro do contexto das demais normatizações, como MCPSE e PRODIST.

e por conta do nível de segurança mínima exigida.

e por conta do nível de segurança mínima exigida.
Unidos já e regulamentada desde 2005.
 investimentos
Já a abordagem efinal
impactos
orientativa financeiros
permite
sobremais oeeventual
operacionais
flexibilidade nas empresas.
quanto àsconfundidas
formas específicas encontradas
como
Para
perfis ae opinião
além
Entendemos
Também
dosque
seria
critérios
principalmente seja
necessário
dainstitucionais,
uma
ABDIB
com diferenças
regulação
prever alguma
assunto,
muito
prescritiva,
remuneração
nem devem
regulação
grandes
pois de
cria por
para
ser
porte.
uma parteO
base
manutenção
do setor
esforço
mínima da
com aainda
deve opinião
e infraestrutura
custo
de para
requisitos considerar
garantir
que apelos
individual
deverão
de segurança
jáagentes
as dos
segurança
ser
seus
para proteção
membros.
existentes
cibernética normas
não contra
deve de ataques
proteção cibernéticos.
de dados É importante
pessoais no país, incentivar
abarcando a inovação
em seu e
escopodesenvolvimento
princípios como tecnológico
a devem e
seguidos
cibernética,
assegurar
Entendemos por
que todos,
tendo
serhaja emeser
uma
vistasuperior
concorrência
necessária parte
evolução ao potencial
complementar
entre
uma abordagem tecnológica
osusoagentes
deorientativa,
erisco
regulatória
que um
o desejado
para que ocom
eventual
requisitos
aumento
processo
orientativa, com
ataque
do
seja nível possa
opcionais. causar.em
Casos
deregulação
eficiente.
o estabelecimento maturidade. de
Asoutros
regraspaíses
parâmetros
necessidade,
ser aplicadas
mostraram quefinalidade
conforme oe adequação
segmento, do
porte e de dados.
potencial Deve-se,
de risco deainda,
cada adotar
grupo uma
de agentes. que entenda a
O Framework
Pensando
mínimos
privacidade anaserem
por deodesign,
evolução modelo
Segurançafutura
observados isto
autorregulação
Cibernética
é,da
por
a segurança
todos os
concepção daeagentes
corregulação
ABRATE
cibernética,
de que podecabe não
servir
integrantes
qualquer àfuncionam
como
Aneel
do
produto SIN. adequadamente.
regulação
promover
ou Reputamos
serviço orientativa
discussões
que
No
aconselhável,
interfira
Brasil,
eeeatuar
avaliação
em aocomo
fluxo
as doum
mesmo
de nível
Deve haver
concessões uma
podem base mínima
mudarcuidados obrigatória
de “dono” e novas a ser prescrita aos agentes conforme o segmento porte, e além deste
de maturidade.
facilitador
tempo,
informações
ponto, quepara
deveria ANEEL identificar
sobre
haver adote
cidadãos consensos
orientações e que paraquanto
possa
que os evitar
gerar
agentesàempresas
direção
ao máximo
riscos à
seguiriam
surgem
de inovações
o podendo
população
com ecerta
engessamento
seja de frequência.
padrões futuros.
e o estabelecimento
desenvolvido
adapta-las
EssaIsto
desde
conforme a
as
mudança
pode
origem
suas
de atores
ajudar
depróprias
soluções
com essa
também
Nossa
Esta dificulta
experiência
regulação
fornecedores deve os emodelos
mostra
einserindo-a
agentes possuirdo queumde
setor autorregulação
a cronograma
regulação
no asplanejamento que epossibilite
norueguesa corregulação.
para segurança
às
e desenvolvimento empresas cibernética
de cumprir
novas osevoluiu
requisitos,para um aframework
considerando osa
muito
Como
baseado
prazos
abrangentes
preocupação,
características,
sugestão,
de em temas
eventuaisuma
o
detalhadas
vez
CIGRE-Brasil
funcionais
processos
em
que otodas para
agente
entende
(de
de acordo
aéetapas
aquisição.
implementação
quem
ainda
com
produtivas.
melhor
ser
as importante
dos
conhece
necessidades
programas
Assim,que criam-se
adoprópria
exista
setor
erede
um e ésoluções.
respectivas
mecanismos quem
cronograma
elétrico). Dessa
ferramentas,
para
tem que
factível
forma, a
oque
o maior fim
risco àde que
interesse
possibilite
regulação é ema
clara
Além
regulação
segurançadisso,
protege-la. nãoa regulação
da informação deve
se torne rapidamente levar em
seja considerado conta
defasada que
desde investimentos
e obsoleta
o empresas
início da diante para aumento
da rápida
concepção da evoluçãodos padrões
infraestrutura, de
de tecnologias segurança
buscando detanto
combatea no
implementação
ao dar
implicam custos dos
responsabilidade que mecanismos
poderãoaos de
diferentes
impactar segurança
agentes
o equilíbrio nas
de acordo privadas
comataques
econômico-financeiroo papel quee públicas
daseles que
cumprem
empresas. atuam no setor
no setor.o que elétrico,
aos
Como
que
ataques
redução de
dizexemplo
respeito
de segurança
vulnerabilidades
de mínimo
àdispor
base
cibernética.
como
a ser
instalada. a defesa
implementado dospelos
sistemas caso
agentes, podemose citar incidentes
entre aindaPortanto,
outros aconteçam,
a segmentação for
contendo
de
prescritivo
A abordagem
seus eventuais
redes, onde deveespecífica,
são danos
criadas de
por naprevisão
nossa
meio diferentes
VLANs de
visão,
de respostas cobertura
deverá
para tarifária.
ser
eficazes.
cada um
tipo deIsto
ponto implica
crucial
serviço, oudaque a adoção
Consulta
seja, uma de
Pública
VLAN novos
de
para padrões
Análise
proteção, de deve
Impacto
outra ser
para
Para
Há de
Assim, ose
anunciada
Regulatóriocaso
o brasileiro,
com
considerar
Idec a
esperada
recomenda que com
antecedência
para obase
existem
que a em
para
primeiro nossa
possibilitar
vantagens
ANEEL semestre
adote experiência,
e o a
de sua
2021,
desvantagens
modelo acreditamos
implementação
da paraem que
cada
corregulação, que
possa de
tipo há
forma
haver
de diferenças
deplanejada
fato
abordagem,
adotando em
uma
regulação ematuridade
eficiente
discussão
cabendo nosentre
ampla
destacar
prescritiva ritos
que os
que:
vestimentoscontrole,
modestos
agentes dooutra
em
setor. para
soluções medição,
Enxergamos de Cyberetc.
que e
a caso
Security
regulaçãoestas
no VLANs
campo
deva de precisem
TO
considerar se
(Tecnologia falar,
estes a
da comunicação
operação),
diferentes níveis sempre
logo,
de o se
escopo
maturidade, daria
de através
atuação no Brasil é
regulatório-tarifários.
entre
considere
de um os agentes
osdeobjetivos
dispositivo edea sociedade
e deveres
segurança sobre as alternativas
elencados
cibernética. acima,
Assim regulatórias
porém
caso um incentivandoem questão.
dispositivo ao mesmo
seja Qualquer
tempoque
infectado/atacado um seja a formadeque
ambiente
o problema fica
A proposta
fornecendo
Assim, se uma
a adoção Procedimentos
abordagem
dese novos de Rede
orientativa
padrões quede encaminhada
para cada
segurança um pelo ONS,
deles.
cibernética com
exigir Requisitos
grandes Mínimos de Segurança
venha O aprazo
cooperação
restrito
Cibernética àser
sua adotada,
eem
para que
edição
subrede. entendemos
de
Operação deseja
normas
Outro alcançar aaser
os
compartilhadas
doaspecto
SIN, adota
regulação
objetivos
uma pela
observado deverá
abordagem deprópria levar
ésegurança emcibernética
indústria
a separação
prescritiva.
consideração ouaportes
que estejam
(lógica umasfator
éfísica) de preponderante.
regras
entre investimentos,
de remuneração
as redes operativas a que
e
eventuais
os
as agentes
Uma
redes acomodações
estarão
abordagem mais
corporativas/comerciais, tarifárias
submetidos para
colaborativapodem
devefazer e
ser ser necessárias.
frente aos
conciliadora
evitado ao é No
investimentos
uma
máximo caso da
combinação
o acesso distribuição,
necessários,
via da quetais
regulação
redes públicas custos
tendem
a ser tendem
a ser
(internet, a
bastante
implantada, redes ser
Na
Além autorregulação,
disso, a eregulação
incorporados nas podedeve
revisões não incluir
haver o incentivogerais,
diretrizes financeiro ou regulamentar
masdetambém propor queRemuneração
etapas estimule
adicionais suficientemente
detalhadas. Emo na
significativos
gradualmente,
discadas
aumento etc.)
do
impactantes.
calcada
aos
nível emtarifárias
dispositivos
de segurança umde do
periódicas
cronograma
supervisão,
setor comobem por
controle
um
meio
definido,
todo. a ajustes
e proteção
Similar à danarede
ser discutido Base
situação com de os onde
elétrica.
atual interessados,
há a
Regulatória
o que demandaria
obrigação ampla
ou
por
resumo,
Base a regulação
de Anuidade deve
Regulatória garantir
(Móduloque seja viável
2.3 docibernéticaimplementar
PRORET – do a
Procedimentos proteção exigida.
mais tempo.
Considerando
segurança, masque para garantir
o incentivo aindaa não segurança
foi o suficiente. setor elétricode – oRegulação Tarifária),
SIN, distribuição mas se houver
e geração –é
uma mudança
Esta regulação
necessária uma brusca
gestão de
poderia padrões
sistêmicaser que
escrita
para exija grandes
com itens
garantir que investimentos,
obrigatórios
os parâmetros revisões
(prescritiva),
de qualidade extraordinárias
com da aporte podem
financeiro
administração vir a ser
governamental,
de riscos
A proposta
necessárias de corregulação
(Módulo 2.9 do pode
PRORET). ser interessante
No caso da caso haja apoio
transmissão, pode legal
ser de
que regulamentação
investimentos por parte
requeridos doparagoverno
voltada
cibernéticos
para o para
aumento parâmetros
tenham no a mesma
nível básicos
de de
segurança. segurança,
taxonomia. De garantindo
outra forma, um
os nível
riscos mínimo
dos de
negócios segurança
que cibernética,
impactam o sistemano âmbito
têm
atender
Sistema
que ser a novas exigências
Interligado
regulados Nacional,
explicitamente tenham quepoder
e incentivando,
para ser autorizados no “Plano de Modernização
inclusive,a odisponibilidade.
garantir desenvolvimento de tecnologias de Instalações”,
e soluções elaborado
na esfera
As
peloquestões
Operador
privada. relacionadas
Nacional
A existência docom
de itens a segurança
Sistema Elétricocibernética
recomendáveis (ONS), ou na
(orientativa), são“Consolidação
relativamente
seriam voltados derecentes
Obras”, ecompilada
para parâmetrosdeverãocomplementares
evoluir muito no de
pelo Ministério de
curto
Minas prazo.
segurança,e Energia
capazes (e expressos
de garantir nouma PRORET 9.7). No caso
infraestrutura maisdas concessionárias
resiliente, permitindo de geração,
que as empresasnão há previsão
alcancem demaiores
Neste
ampliação
níveis de ambiente
da receita
segurança, é recomendável
tarifária
se assim opara que
taisnão
desejarem. seja estabelecido
investimentos. por enquanto
Se houver mudançasnenhuma que exijam regulamentação,
investimentos mas muito apenas
que seja realizado
relevantes um acompanhamento
para assegurar a confiabilidadedocibernética, assunto, identificando as práticas adotadas
ajustes na regulamentação terão pelos
que ser agentes e as
implementados
ocorrências
(PRORET 12.4) que venham a ser registradas.
Com base nestas informações a necessidade ou conveniência de uma regulamentação poderá ser avaliada
futuramente.
A certificação é o mecanismo mais efetivo para garantir padrões de atendimento e segurança na conexão de novos dispos
Uma
Comoregulamentação incentiva as
a certificação relacionada empresas
com a otimizar
a segurança seus processos
cibernética pode ser eutilizada
a conformidade é a forma
para propiciar mais eficiente de coloc
a conf
Os sistemas, produtos e equipamentos legados devem ser considerados na medida de sua vida útil regulatória reconhecid
Os investimentos necessários para adequar-se toda a estrutura de uma rede de comunicação aos padrões de segurança m
A
A certificação
certificação poderia propiciar
de produtos, um nivelamento
serviços doéconhecimento
e profissionais um mecanismoe efetivo
das práticas
para relacionadas à segurança cibernética ent
garantir padrões
A certificação de fornecedores de produtos e de serviços para o setor elétrico seria uma garantia de qualidade para as con
As certificações auxiliam com a gestão das atividades de segurança, na melhoria do nível de segur
A resposta foi encaminhada na primeira contribuição devido a limite de caracteres.
A certificação pode ser uma métrica utilizada para homogeneizar os agentes, mas deve ser muito i
Através das certificações seria mais fácil uniformizar as soluções, custos e prazos a serem seguidos
Entendemos que as certificações
Levando em consideração não devem
que o objetivo ser mandatórias
de uma certificação éapesar de importantes,
a garantia de requisitos pois
mínimos do sistema em questão, a
entendemos que pode gerar aum
Apesar das particularidades, custo adicional,
arquitetura assim como
das soluções estender ée semelhante,
de automação até ultrapassar prazos
assim como deos problemas de implem
energização
A certificaçãodos empreendimentos.
deve ser avaliada caso a caso. Certificações de produtos de TI possuem uma maturidade maior que para pro
No que diz respeito as certificações e conhecimentos relacionados aos itens exigidos pelo
procedimento
Uma de rede para todos
eventual regulamentação os agentes,
sobre segurança deverão ser uniformes
cibernética certamente e padronizados
seria umpois de forma
incentivo paraa um
agentes
Corroboramos
facilitar a com entre
interação a contribuição
o ONS e daempresas.
as ABDIB de queNo a certificação
entanto, levando é importante,
em consideração estabelece
que as n e fornecedores av
A certificação é o mecanismo mais efetivo e confiável para garantir o atendimento
A certificação deve ser avaliada caso a caso. Certificações de produtos de TI possuem uma maturidade de padrões normativos queque
maior determinam
para pro
tecnologias
Todo e políticas
de relacionadas
certificação é de ao contexto
certa forma de
um segurança
processo cibernética
regulatório podem ser
estruturado diferentes
Uma eventual regulamentação sobre segurança cibernética certamente seria um incentivo para agentes e fornecedoresda
processo que promove a evolução contínua av
entre os agentes,
A exigência algumasobriga
de certificado certificações específicas
fornecedores poderão
a atender ser aplicadas
os requisitos por cada
mínimos empresa, ae o diferencia em destaque c
de qualidade
depender
Além disso,daa necessidade
certificação édoa negócio e tecnologia
uma ferramenta de cada uma
de referência delas.
fundamental para a uniformização do entendimento da forma
A certificação poderá ser um diferencial, mas não caracteriza obrigatoriedade para a empresa ou
colaboradores.
A certificação poderia propiciar um nivelamento do conhecimento e das práticas relacionadas à segurança cibernética ent
Entendemos
A certificaçãoque
de não necessariamente
fornecedores certificações
de produtos relacionadas
e de serviços à segurança
para o setor elétrico cibernética iriam resultar
seria uma garantia na maior
de qualidade conform
para as con
O Grupo Energisa entende que a regulamentação não deve contemplar qualquer obrigação com relação à certificação. É fa
Nesse sentido, a que
É entendimento elaboração de regulação
se a certificação brasileira
for algo própria (ainda
efetivamente que baseada
importante emavaliação
a partir da normas edas certificados
empresas,existentes) e o se
essa solução re
A certificação
Além relacionada
disso, como informadoà Segurança Cibernética
anteriormente, tem pordoobjetivo
ascertificação
empresas garantir queutilizam
grupo Neoenergia os ambientes deecontrole,
políticas normas armazenamen
globais de ciber
Uma regulamentação
A certificação orientativa
para sistemas de TI com
e OTfoco em
possibilita a garantiano
dasetor pode levardos
confiabilidade as sistemas
empresas que ainda
cibernéticos não
dasadotam
empresasesta pr
certi
Como parte da abordagem orientativa pode abranger o uso de dispositivos, hardware e software certificados
A eventual regulamentação sobre o tema incentivaria os agentes de geração, transmissão, distribuição e comercialização dsegundo pad
As
Umaempresas devem ter
regulamentação autonomia
orientativa na foco
com exigência destas práticas,
em certificação conforme
no setor seu porte
pode levar e gestãoque
as empresas de ainda
risco. não
Qualquer
adotamregulação
esta pr
Importante ressaltar que a Lei Geral de Proteção de Dados prevê a hipótese de certificações que ateste conformidade qua
A empresa desconhece certificações aplicáveis a rede operativa de transmissoras de energia. Existem certificações específi
Consideramos que a certificação estabelecerá uma linha base para o conhecimento quanto a segurança
Em termos de equipamentos a certificação pode ser uma boa alternativa para novos empreendimentos, porém para os em
A certificação é uma forma de comprovar que uma pessoa/entidade obteve informações relevantes so
As certificações dos profissionais e serviços dão mais credibilidade e pesam mais no momento da contratação. A regulame
As
Umacertificações para profissionais
vez que a regulamentação
A regulamentação ajudará e serviços,
seja apesar
devidamente
organizações de seu
nãopapel
aplicada,
a entenderem garantirem
a exigência na
de sua
sua totalidade
na manutençãoaplicação a segurança
em
do sistema atividadescibernética
comerciaisdo
elétrico na sistem
pode in
A exigência seria por certificações de alto valor agregado ao negócio.
Uma auditoria entre as empresas do setor elétrico poderia ser mais produtiva e menos onerosa que uma certificação, a ex

Toda e qualquer modificação regulatória que exija uma certificação de empresa, profissional ou serviço, trazem impactos fi
Um conjunto de controles de segurança definidos (a exemplo do conteúdo do NERC CIP) a serem cu
Talvez o caminho mais adequado seja exigir auditorias independentes de forma periódica. Dessa f
As empresas devem perceber valor na certificação de segurança cibernética, e não apenas um meca

As certificações vem como uma forma de mitigar os conhecimentos e habilidade relacionadas à segu
 Nota-se ausência de certificação específica no Brasil para empresas do setor e profissionais de TO.
A auditoria dos processos definidos pela ANEEL seria mais eficiente do que certificar as empresas, tendo em vista o impact
Os produtos devem ser certificados em novos empreendimentos, para equalizar o nível de segurança dos proponentes, ou
Cada empresa deverá determinar seus critérios para a certificação de profissionais de acordo com a sua realidade.
O
SeCIGRE-Brasil
a certificaçãoentende que aoferecer
em questão certificação pode na
diferentes verdade
níveis, criar
pode umexposição
haver custo adicional ao de
do nível processo, além
segurança dade prolongar excess
empresa.
Outra preocupação do CIGRE-Brasil nesse aspecto é que uma eventual certificação seja encarada pelos agentes como um m
Assim, como sugestão, pode-se considerar a realização de Auditorias para confirmar aderência das soluções técnicas com
e atuação no Brasil é reduzido em relação ao fornecimento em outros países nos quais existe regulação para Cyber Security para infrae
Em
Como
Sendonossa
em visão,
qualquer
o setor a certificação
processo
elétrico deé importante,
um sistema que deve pois
certificação, estabelece
sobretudo
minimizar um nível
osaqueles
efeitos que de segurança
têm a norma
de eventuais a ser
ISO atendido
como
interrupções padrão,
da por
é todos dos
continuidade os agentes ee
serviços,
Há ameaças que podem vir de fábrica com os equipamentos – firmwares, por exemplo- e, se não houver uma regulamenta
A
A certificação
regulação deve é um instrumento
considerar de aumento
a criação e de controle
de diretrizes, de qualidade
considerando e de redução
os frameworks Cobitde5, custos pois aumenta
ISO 27001, NIST CSF eeficácia em
ISA/IEC62
A ANEEL deveria escolher quais normas nacionais e internacionais (ou entidades certificadoras) que os equipamentos deve
ÉNoimportante
Entendemos destacar
Brasil a ANATEL
que caso que
certifica
se certificação
ospor
opte institucional
equipamentos
umapara a serem
certificação, indica, com certo
empregados
a regulação nograu
deveriapaís
serde
porsegurança, o níveldedeuma
ser a regulamentação maturidade
brasileira dotelecom
de agentec
O desenvolvimento
Essa
Quanto certificação
aos deproporciona
profissionais procedimentos
deveria uma
ser exigido mitigar
avaliação
que os os riscos
interna doseagentes
responsáveisa definição
pela em deconstruída
parâmetros
relação
implantação à
a partir
conformidade
dos sistemas deou
base (framework)
de compatibilidade
não dos
segurança aseus
serem
sejam aten
process
certifi
Alguns
No aspectos
entanto, tais como custos
eventuais incorridos,não
certificações seleção
devem de implicar
órgãos certificadores
transferência ede
a seleção do framework
responsabilidade. No devem atual,
cenário ser considerad
é necessá
Se por umde
A certificação lado a regulamentação
profissionais pode conternaexigências
e de equipamentos obrigatórias(TI)
área de informática deécertificações,
uma exigência pordooutro lado,fornecedor
mercado é importante qued
O incentivo regulatório
Um aspecto aos agentes
a ser destacado do setor
é que pode serde
a certificação promovido por meio
fornecedores do reconhecimento
de produtos e de serviçosde melhorias
para o setor na infraestru
elétrico seria
Em relação ao reconhecimento
Uma proposta é que a ANEEL de preveja
ativos voltados à segurança
a remuneração cibernética,
dos agentes, é provável
todos que seja
os dispêndios necessária avoltados
já executados, revisão dosparasea
a) Manual de Contabilidade
Com relação do Setor
à certificação Elétrico;eeprofissionais, sugere-se que a certificação seja revalidada periodicamente e
de processos
b) Manual de Controle Patrimonial do Setor Elétrico.
A medida que o tema for evoluindo as questões relacionadas com a certificação também deverão ir progredindo. Com isto
Da mesma forma que recomendado na questão anterior, sugerimos que o assunto seja apenas acompanhado inicialmente
 No âmbito do setor elétrico, o que deveria ser considerado como infraestrutura crítica?
A infraestrutura crítica se compõe especialmente dos ativos do sistema elétrico de potência do Sistema Interligado Nacion
O Decreto
Mas nº 9.573/2018,
as outras quede
infraestruturas aprovou
energiaa elétrica
Política também
Nacional devem
de Segurança de Infraestruturas
seguir praticas Críticas,
de segurança considera,
cibernética no inciso
(geração, I, d
distrib
Sugere-se
Entendemosclassificar como infraestrutura
que os critérios crítica
do Decreto são para o setor
apropriados paraelétrico
fins deasclassificação,
infraestruturas
comdas instalações
observância daníveis
dos Rede de
de criticida
Operaçã

Em síntese, sugere-se que seja considerado infraestrutura crítica relativa à segurança cibernética todas as instalações, siste
Sob o ponto de vista de segurança cibernética, as infraestruturas críticas são aquel
Infraestrutura crítica na nossa
A resposta foi encaminhada navisão está contribuição
primeira relacionada com os ativos
devido a limitedaderede TO.
caracteres.
Ativos de rede que possam ocasionar falhas físicas, estruturais e prejuízos financeiros.
Os critérios devem ser segmentados por negócio sim.
Primeiramente acredito que os critérios deveriam ser individualizados por segmentos.
Tal como respondido
O próprio na pergunta
termo "infraestrutura #4, entendemos
crítica" se refere aoque quea écomercialização
essencial para ade energia não se enquadra como infraestrutura
sociedad
Corroboramos
Entretanto, os com a contribuição
critérios estabelecidos da pelo
ABDIB de diferenciação
Decreto 9.573/2018 dopara
graudefinir
de regulação das medidas
infraestruturas depodem
críticas segurança cibernética
eventualmente
Infraestrutura
No setor crítica
elétrico, são todos
pode-se adotarosuma
ativos, sistemas, ebaseada
metodologia redes, físicas ou virtuais,
no critério consideradas
de classificação vitais para
de Instalações oEstratégicas
setor, e quejácuja
apre i
Em
Os princípio,
critérios os
para critérios deveriam
classificação como ser individualizados
infraestrutura por
crítica segmento
devem ser considerando
definidos levando a gravidade
em das
consideraçãoconsequências
o segmento dos
de ata
atu
De uma forma geral, nos parece necessário que cada segmento (geração, transmissão, distribuição e comercialização) siga
Contudo,
Ainda é importante
assim, considerando considerar
que umque devem
ataque ser definidos
cibernético diferentes
envolve os níveislateral
movimentação de criticidade inerentes
e com isso aos diferentes
as interfaces entre as seg
infr
Assim, é prudente
i.Infraestrutura
a arquitetura que
da rede
crítica se
são identifique
dotodos
agente, parasistemas,
cada um
capilaridade
os ativos, edos
e posto segmentos
de conexão
redes, os
físicas ou respectivos
entre redes
virtuais, deelementos
tecnologia
consideradas críticos para
da informação
vitais para a devida
o setor,(TI) e mensur
e queTO;cuja i
O
Osdecreto
ii. os 9573
controles
critérios de 22/11/2018
tecnológicos
para classificação aprovou
decomo
segurança a cibernética
Política Nacional
infraestrutura de Segurança
implementados
crítica devem paradeimpedir
ser definidos Infraestruturas
levando Críticaslateral
movimentação
em consideração – PNSIC queas
o entre
segmentoem seu Ar
de atu
Contudo,
localidades; é importante considerar que devem ser definidos diferentes os níveis de criticidade inerentes aos diferentes seg
Consideramos
iii. os controlescomo infraestrutura
tecnológicos crítica as
de segurança instalações,
cibernética serviços, benslocalmente;
implementados e sistemas cuja interrupção ou destruição, total ou
Na proposta de procedimento de rede do ONS, o ambiente
iv. mecanismos para “isolar” a localidade em caso de um ataque cibernético; abrangido compreende as subestações de energia e centros de
Ainda,
v. acreditamos
capacidade que
de detecção a individualização
de dos critérios exigidos por segmento (geração, transmissão e distribuição) poder
O Grupo
Sugere-se Energisa entende
classificar queum ataque;crítica
a eventual
como infraestrutura regulamentação
para o setora elétrico
ser publicada por essa ANEEL
as infraestruturas das deve contemplar
instalações a segurança
da Rede de Operaçã d
vi.
O impactos
Grupo ambientais;
Energisa considera como críticas todas as camadas do Purdue Model (ISA 99) abaixo dos
Em síntese, sugere-se que seja considerado infraestrutura crítica relativa à segurança cibernética todas as instalações, sisteníveis 3,5 até o 0.
vii.
Pararisco a vidaTransmissão
Geração, dos funcionários e da comunidade;
e Distribuição os critérios permanecem associados às camadas críticas descritas acima (foco em
viii. relevância da localidade para o negócio.
O Grupo EDP
Também entende que
é importante a infraestrutura
destacar crítica
que controles das empresas
tecnológicos do setor
podem elétrico em
ser utilizados diz respeito às redes operativas
pontos estratégicos da rede epara
seusimp
re

Os
No critérios
âmbito dopara classificação
Sistema Elétricocomo infraestrutura
Brasileiro, críticaEnergia
o Grupo CPFL não devem estar
entende relacionados
que devem ser diretamente ao segmento do agen
A infraestrutura
Além disso, devemcrítica das empresas nono
ser individualizados âmbito dode
sentido setor elétrico as
considerar refere-se às redes
diferenças operativas
existentes entreeosseus respectivos
sistemas sistemas
corporativos e
Os critérios para classificação como infraestrutura crítica devem obedecer a requisitos específicos de arquitetura de autom
Além disso, os controles de segurança devem obedecer a requisitos e particularidades, considerando as diferenças existen

Na opnião da Argo, consideramos infraestrutura crítica tudo ou qualquer equipamento

No setor elétrico todos os segmentos devem ser considerados como infraestrutura crítica.
mento da contratação. A regulamentação pode exigir que as empresas a serem contratadas, cujo objeto esteja no escopo de segurança
Do
em atividades ponto de
de vista
comerciais
Ambiente podedaincentivar
transmissão,
automação, infraestrutura
a participação
sistemas crítica é OT,
de TI e TA,derelacionados
profissionais engloba
à eoperaçãocentros
empresas de operação,
docertificadas.
sistema sistemasprocessos
elétPor exemplo, de controle, proteção
de contrataç
Os critérios definido acima, se baseam no que entendemos ser infraestrutura crítica no setor de transmissão. Acreditamos

Os criterios também dependem da abordagem regulatória. Uma abordagem orientativa ou autoregulação até poderia ser
A infraestrutura crítica deve ser o "core" de uma concessionária. Penso que os critéri
É bem desafiador criar uma definição objetiva do que é infraestrutura crítica. Em telecomunicações, utilizamos a seguinte
"instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, se forem interrompidos o
Na minha opinião, infraestruturas de geração, transmissão e distribuição são crítica

Infraestrutura crítica: Redes lógicas(dados, medição, comando e proteção); servidore

 Em termos de segurança cibernética, Redes operativas (TO) e informações associadas de centros de operação e de instalaç
Segundo o DECRETO
Os critérios devem serNºindividualizados
9.573, DE 22 DEporNOVEMBRO
segmento DE 2018,àstemos
devido diferentes realidades.
I - Infraestruturas críticas - instalações, serviços, bens e sistemas cuja interrupção ou destruição, total ou parcial, provoque
Logo, esse conceito de Infraestrutura Crítica se aplica às empresas e agentes que geram (incluindo PCHs, por exemplo), tra
ão para Cyber Security para infraestruturas críticas de energia.
Por se tratar de uma rede única, toda a infraestrutura do setor elétrico deve ser considerada como crítica, não há como de
Na Noruega, a odefinição
Considerando objetivo de uma
final de infraestrutura crítica édodeSIN,
garantir a segurança responsabilidade
recomendamosdos queagentes
a ANEEL dodiferencie
setor queopossuem ou operam
grau de regulação
De uma forma
Infraestrutura geral,
crítica nos parece necessário
é uma acreditamos que
instalação, serviços, cada segmento
bens parte
e sistemas (geração, transmissão,
cuja interrupção distribuição
ou destruição, e
totalcomercialização) siga
ou parcial, eprovoque
No setor elétrico brasileiro, que a maior da infraestrutura relacionada à geração, transmissão distribu
Esta é uma questão bastante complexa e que depende muito da topologia física e lógica da rede de telecomunicações e TO
A
O princípio
Submódulo são26.6
infraestruturas críticas os
dos Procedimentos dedispositivos
Rede de supervisão,
apresenta critérios controle,
para telecomunicações
identificação e proteção
de instalações ligados
estratégicas. diretam
Esses crit
de compatibilidade
Porém háa de
serem
sedas atendidos
considerar pelas
que empresas
nos de energia
casos onde a rede do elétrica
agente contribui
possui para a segurança
firewalls apenas nacibernética.
bordade Assim,
daRede
rede, há aa adoção de
possibilida
Para
idade. No cenárioo escopo
atual, instalações
é necessário consideradas
estabelecer no ARCiber,
mecanismos contida na proposta dos Procedimentos – PR enviada à A
As Infraestruturas
Estando reguladas Críticas são instalações,
as funcionalidades serviços,para
bensmelhorar
que obrigatoriamente e sistemas a articulação
as empresas entre
cuja interrupção
elétricas os representantes
ou
devem destruição, total
ter, a fim de das
ouinfraestruturas
parcial,
garantir provo
o nível de r
mento de melhorias
Há denase
infraestrutura
considerar que – e,todas
portanto, de reconhecimento
as segmentações do setordos respectivos
elétrico ativos incorporados
representam infraestruturas àscríticas,
Bases de Remuneração
pelo fato de co
e seja necessáriaEm
a revisão
síntese,dos seguintes
sugere-se quemanuais para dar segurança
seja considerada e clareza
infraestrutura regulatória
crítica, relativa àasegurança
tais investimentos:
cibernética, todas as instalaçõe
Há de se considerar também que, a adoção de medidas de proteção para todas as conexões lógicas, só será possível c
A infraestrutura dos sistemas de operação é aquela que exige um maior nível de proteção. Inclusive por que possuem cara
No caso de sistemas corporativos o risco é bem menor e se assemelham aos sistemas corporativos de outros setores. Nest
As características específicas dos setores (G-T-D) levarão a identificação das suas respectivas infraestruturas críticas. Mas o
 Aplicar critérios de proporcionalidade que associem importância ao sistema de potência e risco de segurança
cibernética são difíceis, porque um ponto fraco conectado à rede de comunicação comum já coloca em risco toda
a infraestrutura crítica. A questão principal a ser considerada é se a instalação precisa estar conectada com
comunicação
Quais tipos dede dados com
critérios infraestruturas depodem
de proporcionalidade terceiros
ser(ONS, Centros
levados de Operação
em conta e/ou outras
para diferenciação deempresas).
requisitos
Sistemas
obrigatóriostotalmente
entre isolados e restritosDeve
empreendimentos? a umhaver
únicoalguma
agentediferença
poderiamporemtipo
teoria
de ter requisitos
serviço mais leves, mas
(gerad...
Considerando que as vulnerabilidades
qualquer modificação futura que venhaexploradas
a alterar oem empreendimentos
formato de conexão do com menor potencialpoderá
empreendimento de dano ao sistema
acarretar em
elétrico podem ser exploradas para acessarem instalações com maior
novos investimentos para adequação a requisitos de segurança cibernética. potencial de dano ou mesmo de outros
agentes,
A criaçãosugere-se querequisitos
de eventuais os critériosdeve
devem ser únicos
ser pautada para
pela cada tipo
análise de serviçoda
da criticidade (geração, transmissão,
instalação, bem comodistribuição
pelas
ecaracterísticas
comercialização), sem proporcionalidade,
intrínsecas de cada segmento,sendo
alémosdariscos tratados
natureza em todos
e extensão os empreendimentos
do impacto considerados
que podem provocar.
críticos. Especificamente para os sistemas comerciais, sugere-se que seja levado em conta a criticidade das
informações dos clientes.
Poderia ser definido um único critério para todos os tipos de serviço, baseado no impacto que poderia ser gerado
ao sistema elétrico no caso de incidente cibernético.
A resposta foi encaminhada na primeira contribuição devido a limite de caracteres.
Os critérios de proporcionalidade devem ser baseados nos tamanhos dos ativos dos agentes,
Entendemos
De acordo com
Corroboramos quecomos arequisitos
a importância
contribuição prescritivos
do empreendimento
da ABDIB relacionados ao definição
paracritérios
SIN, ou de critérios
seja, se maisdeouproporcionalidade
serédiferenciados menos crítico paradevem
ode
SIN. ser
Sim,
Independentemente
estabelecidos
deve haver numa
diferença da fonte
condição
por tipos de geração
mínima,
de ou de
suficiente
serviços. tipoque
deos
para serviço,
a se o
garantia
podem
empreendimento
da segurança de todo
pelo
for ocrítico,
SIN e
segmento
os critérios
estar em
cada
devem
agente,
ser observando
proporcionais as suas
a essa peculiaridades.
criticidade. CategorizaçãoNo entanto,
excessivaexiste uma preocupação
tende sobre eventualediferenciação
equivalência
com relação ao porte
ao nível de
dos criticidade
agentes, elencado
especialmente à funcionalidade
se a cada aum
vulnerabilidade
dificultar
dosuma
de
a implementação
empreendimentos.
parte da infraestrutura,
abrir exceções
de implementação.
Contudo, considerando a incipiência de aplicação/prática dos conceitos e definições que envolve o tema
independentemente
O principalcibernética
critério para da extensão,
diferenciar puder
os causar prejuízo
requisitos que ao SIN. Será
segmentos fundamental quedevem
e empreendimentos se considere,
seguir no ao avaliar
deve ser o os
segurança
São pertinentes
critérios para no âmbito
a diferenciação
a regulação, do Setor Elétrico,
e a eproporcionalidade
os riscos os entendemos
impactos potenciais de requisitos que
que possam antes de
tantodecorrer qualquer
verticalmente novo passo
(geração,mal
caso terceiros transmissão,
potencial impacto
estabelecimento que podem
dehorizontalmente
dispositivo causar
normativoà sociedade.
nesta questão, uma análise criteriosa de de
avaliação dos mecanismos de o
distribuição)
intencionadoscomo busquem explorar (por exemplo,
vulnerabilidades instalações
pontuais dasde transmissão
redes operacionais mais críticas
alguns que outras),
agentes para afetar
identificação
permitindo dos
otimizarníveis
e
sistema elétrico como um todo. de criticidade
priorizar os associados
recursos a
necessárioscada empreendimento,
para atendimento a e suas
eventualredes auxiliares,
regulamentação. deve, Um ponto
imprescindivelmente,
de partida para classificação, ser realizada, sob a as
sem exaurir ótica dos protocolos,
opções, pode ser ospolíticas
“Critérios e sistemas de controle
para identificação dassupervisório
instalaçõesjá
instituídos,
estratégicas com o objetivo
do Sistema de mensurar
Interligado Nacional”, de forma adequada
descritos os impactos
no Submódulo 23.6 e o tamanho do problema em do ONS.
Considerando
Os critérios deque
vulnerabilidade aseventos
vulnerabilidades
proporcionalidades
aos queexploradas
maléficos. poderiam ser emlevados
empreendimentos
em consideração, comdos Procedimentos
menor
poderiapotencial dededano
ser o impacto
Rede ao sistema
sistêmico
O
queGrupo
elétrico Energisa
podem
eventualmente serexpõe
umaosubestação
exploradas entendimento
para acessarem de que
de energia a eventual
instalações
elétrica oucomregulamentação
mesmo maior potencial
usina a ser
depublicada
hidrelétrica dano por
ou mesmo
poderia essa
gerar deANEEL
no outrosdeve
Sistema
contemplar
agentes,
Interligado apenasque
sugere-se
Nacional, a no
segurança
os
caso de das
critérios instalações
sejam
ocorrências únicos do
para
sistêmicasSistema
cada Elétrico
tipo
quetodos Brasileiro
de serviço
indisponibilizem (Tecnologia
(geração,
as Operacional
transmissão, –eOT),
distribuição de
e
Os requisitos
forma
comercialização), de proteção
orientativa dado
sem que tecnológica
o assunto
proporcionalidade, para
é muitoTO
sendo beneficiam
dinâmico.
os riscos tratados osemnegócios
todos de funções
os Utilities.de
empreendimentos
transmissão
Todos os seguimentosgeração
considerados do
devido
setor a um ataque
elétrico possuem cibernético.
seus riscos e requerem controles de proteção cibernética adequados.
Adicionalmente, quanto ao o critério a ser levado em consideração deve
críticos. Especificamente para os sistemas comerciais, sugere-se que seja levado em conta a criticidade das ser a relevância do empreendimento seja
ele de geração,
informações dostransmissão
clientes. ou distribuição no SIN, utilizando como parâmetro a matriz de risco do setor elétrico
Como comentado
brasileiro no item anterior, a integração
– impacto/frequência/detecção. A título tecnológica
ilustrativo,entre os agentes
um pequeno resulta
sistema dena necessidade
distribuição do não
isolado,
O Grupo CPFL
estabelecimento Energia
de entende
requisitos que
mínimosos critérios
de de proporcionalidade
cibersegurança
precisa ter o mesmo nível de segurança que a Usina Hidrelétrica de Itaipu. a serem a serem
cumpridos levados
igualmenteem conta
por para
todos. diferenciação
Deve ser
de requisitos
criado um obrigatórios
modelo de devem considerar
ressarcimento dos (i) o tamanho
agentes em cada e relevânciado
seguimento dasetor
operaçãode dos sistemas
forma que novos deinvestimentos
geração,
Os sistemas operativos
transmissão, distribuição que suportam a infraestrutura
e comercialização para manutenção crítica dasda empresas
continuidade do setor, independentemente
da operação do Sistema Elétricodo tipo
realizados
de em sua infraestrutura de cibersegurança sejam compensados financeiramente.
Brasileiro - SEB, analogamente ao que já ocorre nos Procedimentos de Rede no que concerne às instalaçõesou
serviço (geração, transmissão, distribuição) devem atender requisitos de segurança cibernética comuns,
seja,
O não EDP
Grupo
estratégicas,devebemhaver
entende
como critérios de proporcionalidade
ser(ii)necessário
o impacto edefactível
uma falha distintos
estabelecer
no por tipo de
SEB requisitos
provocada de serviço.
porsegurança cibernética comuns aos
ataques cibernéticos.
Acreditamos ser possível estabelecer
diversos empreendimentos, que serãorequisitos
implementados de segurança cibernética
pelas empresas comuns aossuas
considerando diversos empreendimentos,
especificidades e porte,
que serão implementados pelas
sem comprometer a mitigação de risco esperada. empresas considerando a especificidade do negócio, sem comprometer a
mitigação de risco esperada
É importante considerar um requisito mínimo de proteção que leve em consideração a operação do sistema para
todos empreendimentos de todos os segmentos. Em seguida os requisitos devem se ajustar a cada segmento,
caracterizando por exemplo instalações que são estratégicas e SEPs (sistemas especiais de proteção).
Critérios por ordem de criticidade. Controles onde caso a falha ocorra:
1- A integridade física de pessoas ou meio-ambiente pode ser comprometida
estrutura crítica.
Do
2- Oponto
adas, cujo objeto deno
esteja vista
fornecimento da
detransmissão,
escopo paraasistemas
de segurança,
energia proporcionalidade
os serviços poderiaseja
e profissionais
críticos nacionais ser definida
possuam
afetada com base no
certificações tipo de instalação
adequadas.
estratégica
ertificadas. Por exemplo, do SIN, conforme
processos de definido
contratação noqueprocedimento
exijam o de rede,
cumprimento
3- O fornecimento de energia para grandes metrópoles ou complexos industriais seja afetado. submódulo
da 23.6.
regulamentação e consequentemente a existência d
Também se verifica essa proporcinalidade em referências, como o NERC CIP, onde há uma diferenciação por porte
e importância/impacto para o setor.
Acredito que critérios de proporcionalidade devem existir para diferenciação de requisitos obrigatórios.
Sem conhecimento
Juntamente por tiponenhum do esetor,
de serviço a sugestão
por seu tamanhoé de
quecapacidade
requisitos de segurança
(maiores com sejam proporcionais à criticidade
mais obrigatoriedade).
da infraestrutura protegida (quantidade de consumidores atendidos, risco de interrupção do serviço, atendimento
a instalações estratégicas para o Estado, etc.)
Esta pergunta pode ser melhor respondida pelas empresas e organizações do setor elétrico brasileiro.
Uma proposição seria por seguimento(Geraçãpo, Transmissão, Distribuição), havendo a necessidade de maiores
investimentos e implementações técnica de segurança, em cada caso, conforme a abrangência, e/ou tamanho do
empreendimento.
 •Os
Do critérios dede
Segregação
ponto proporcionalidade
vista transmissão,devem
dedarede um grau levar em conta
mínimo principalmente
de proteção deve seroobrigatório
risco decorrente de ataques
para todas a estas
as subestações
•instalações,
conectadas, Controlemensurado acesso epor
demaneira
de indicadores
a logging
impedir que dimensionem
a movimentação lateral deos impactos sociais, econômicos
ameaças cibernéticas. e demínimo
O requisito segurança deve levar
nacional,
•em consideração amplificados
Controle de ativos pelo nível
o impacto de conectividade
financeiro e operativo de para cada instalação com as demais instalações e com outras
as empresas.
infraestruturas
•ApósProteção a evolução decríticas.
sistemas
do grau de maturidade de segurança cibernética da empresa, é possível implementar controles
Devem
•Existindo
adicionais serconexão
Gestão definidos critérios
lógica
de vulnerabilidades
para os casos entre
que de
osacordo
sistemas,
ofereçam comjámaior
risco oseria
porte do empreendimento,
possível
ao sistema uma movimentação
elétrico. porém deve da
lateral serameaça
levada em conta a
cibernética
integração
•(seja um ataque
Gestão
O Framework do empreendimento
dede direcionado,
antivírus ao restante
um malware,
Segurança Cibernética da rede
ransonware,
da ABRATE do
é uma próprio
etc) empreendedor
entre os sistemas
ferramenta para auxiliare às redes
de diferentes de
as empresas terceiros.
agentes. A entrada
Logo,
nas avaliações faz de
em
sentido
•risco operação
analisar
Análise
e grau dede um
os novo
riscos
atividades
maturidade, empreendimento
associados
de rede
orientando ao sistema
a deve garantir
não
prioridade pelo
dos o mesmo
porte
próximos da nível de
instalação
passos. segurança
elétrica, das
mas instalações
sim as conexõesas quais se
lógicas
Em nossa Uma
conectar. visão,linha
os critérios
de uma podem ser diferenciados
distribuidora deve seguir, pelo
no segmento
mínimo, osde cada agente,
critérios de observando
segurança da as suas de
instalação
entre as instalações
•peculiaridades.
Recursos forenses elétricas.
No entanto, Conexões
existe lógicas
umaà preocupação construídas
sobre através
eventual de Firewalls,
diferenciação switches, DMZs,
com relação etc.,
ao de
portena área
dos de
transmissão
IT/OT,
• Prontidão à qual
e conexões se conecta,
físicas
e organização atravésdedevido necessidade
de interligações
emergência, de
elétricas
incluindo troca
ou
CSIRT de dados delocalmente
interdependências.
(equipe resposta a para as lógicas
incidentes proteção,
de segurança
agentes, especialmente
intertravamento, se a vulnerabilidade de uma parte da infraestrutura, independentemente da extensão,
informática)
puder causar SOCetc.
eprejuízo(centro de Será
aosegmentos
SIN. operações de segurança)
fundamental que se considere, ao avaliar os critérios para
Os
• serviços
Wargaming dos diversos
, detecção e controle possuem
de características
intrusões, testes dediferentes
penetração e, eportanto,
auditorias devem tera requisitos
regulação,conforme
os riscos
ve ser considerada easos impactos
como potenciais
crítica, não que
há possam
como decorrer
deixar de caso
considerar terceiros
algum mal intencionados
setor, portanto busquem
geração,
especificidades de cada setor. Cada vez mais as distribuidoras se conectam diretamente aos clientes finais, explorar
transmissão e distribuição são todo
vulnerabilidades
Para
muitos garantir
deste pontuais
segurança
pessoas aodas
físicas,setorredes
que operacionais
elétrico,
precisam todos
ter os de
osseusalguns
agentes
dados agentes
devem
pessoais para
cumprir,afetar
peloomenos,
preservados. sistema
Já nasumelétrico
conjuntocomo
transmissoras um
mínimo
e todo.
de
Ademais,
condições oque
controle
aumentemde segurança
a segurança da informação
cibernética. faz parte da regulação para proteger informações confidenciais
geradoras
relacionadas queà construção
atendem a clientes
e operação corporativos,
de ativos a divulgação
do dos dados
setor elétrico. Uma de nome,
equipe éde endereço, telefone
responsável por ações e preventivas
CNPJ
destesPode se
clientesconsiderar
não é tão diferença
crítica nos
quanto níveis
a de segurança
divulgação dos exigidos
dados de de agentes,
pessoas físicas. acordo com a sua criticidade.
à nível nacional (NorCERT).
Considerando que as
Não é possível
A proposta eliminar
de Procedimento umvulnerabilidades
risco cibernético.
de Rede exploradas
encaminhada em empreendimentos
Nas instalações
define umcom comdemenor
mais equipamentos
conjunto mínimo potencial
e serviços,
controles de dano
aumentam
e, portanto, ao
não os
sistema
pontos
considera elétrico,
vulneraveis podem
requisitos ser
eeascritérios utilizadas
ameaças, mais para
resultando
rigorosos o acesso
em
e maior
nem a instalações
investimento
critérios de mais críticas, sugere-se que os critérios
na segurança cibernética para mitigar o risco.
proporcionalidade. mínimos
ara a segurança sejam
Será cibernética.
únicosque
necessário paraAssim,
um cada atipo
estudo adoção de certificações,
de serviço
para modelar (geração, melhores práticas
transmissão,
GTD e estabelecer, e requisitos
distribuição mínimos
econjunto
comercialização),de segurança deve
de ser incentivad
semseria positiva.
ação entre os Ressalta-se
representantes o ONS
das entende
infraestruturasque uma aproximação
críticas. à umadentro
regulaçãode um
semelhante de NERC-CIP
ao funcionalidades
proporcionalidade,
segurança cibernética sendo
quais osasriscos
que tratados em todos os empreendimentos
estão obrigatoriamente associadas ao segmento.considerados críticos.
os ativos incorporados No queàstangeBasesaos de sistemas
Remuneração Regulatória
comerciais, – e de
sugere-se querequisitos
seja levada de segurança
em conta aacriticidade
serem definidos em diretrizes
das informações dose editais d
tória a tais investimentos:
clientes.
Há de se destacar que os requisitos mínimos devem considerar os impactos financeiros e operativos.
A grande diferença deverá ser os riscos de ocorrer uma falha na segurança. Sistemas maiores, mas complexos,
com mais portas de acesso, deverão ser tratados com mais cuidado. Tudo isto associado aos aspectos de
abrangência e tempo de restabelecimento.
Nesse
Os maioressentido, no que
desafios tange
para à comercialização
as empresas (no aspecto
de transmissão são: da medição para faturamento), temos o cenário ligado à segur
•As instalações sofrem diversas ampliações com diferentes tecnologias, sendo impossível manter as mesmas soluções ao l
Quanto ao segmento
•A atualização de transmissão,
dos dispositivos é importante
inteligentes atentarUnidades
(Reles Digitais, para o fato
dede que o ambiente
Controle, da subestaçãoé écomplexa
Sistema Supervisório) compartilhado
(recom
O
•Omaior desafio
ambiente da ésubestação
incorporarémelhores
compartilhadopráticas
pordediferentes
segurançaempresas.
em sistemas legados, muitas vezes desenvolvidos para funcio
As
•Osempresas, em geral, não
sistemas inteligentes temtêm ambientes
vida de teste
útil (15 anos) menorespecíficos de segurança cibernética
que os equipamentos e as
primários (30 instalações
anos). são geograficam
Isto significa moderniza
Merecem
•As atenção
empresas não as seguintes
têm ambientes áreas
de prestadoras
teste de serviços
específicos de ao setor
segurança elétrico:
cibernética.
Em
•Os relação à segurança
Tecnologias: prover cibernética,
sistemas quais
e serviçosos desafios
seguros. de cada segmento d
•Nãodesafios
existemtambém
áreas estão atrelados
especificas e com à numero
tecnologia de cadade
suficiente umpessoal
dos equipamentos,
para dedicaçãoque muitas vezes
exclusiva são fabricados
à segurança em mom
cibernética.
••As instalações
Telecomunicações:
são geograficamente distantes, sendoe atendimentos
garantir a confidencialidade integridade doslocais
dados transportados
mais demorados em suas redes.custos.
e envolvendo
•Também
Engenharia: adotar
há desafios políticas
gerais, quantode àsegurança
capacitaçãocibernética
do pessoale capacitar
técnico eseus colaboradores.
na disseminação de uma cultura de segurança dent
• Fornecedores: disponibilizar no mercado produtos com requisitos de segurança nativos.
• Agentes: garantir a segurança cibernética em seus perímetros.
• Telemedição: garantir a integridade e disponibilidade dos dados de medição.
Os maiores desafios estão relacionados à obtenção de orçamento próprio p
A resposta foi encaminhada na primeira contribuição devido a limite de c
Maior desafio será implantar requisitos de segurança sem impactar os c
Acredito que o principal desafio será em relação à educação e treiname
Para
Sendoo restritos Grupo Energisa
à geração uma(ramo
eventual regulamentação
no qual deve contemplar
atuamos), acreditamos que as pr apenas a segurança das instalações do Sistema Elé
Ressalta-se
Corroboramos
Em relação quesegmento
ao tanto
com o Decreto
a contribuição
de 9.637 quanto
da ABDIB
comercialização, deaque
Lei 13.709,
os maiores
entendemos ambos
que o de 2018
desafios
principal paratratam da segurança
o sistema
desafio está dade
de transmissão
na informação.
com relação Adicionalm
à segu
No
Como caso de uma das
dificuldade a empresas
ser superada, do importante
grupo Eletrobras, o maior
atentar-se que desafio
o Banco dizderespeito
Preços à área
de de proteção
TO. Adaárea
Referência dedados
ANEEL,
e informaçõe
TIutilizado
já possui soluçõ
nocreden
cálcu
O
Os maior
Além desafio
disso, no é incorporar
caso de melhores
comercializadoras práticas de segurança
integradas, conformeem sistemas
já legados,
mencionado, há muitas
o vezes
desafio desenvolvidos
adicional de para
proteger funcio
Os principais
Quanto desafios
aos desafios
investimentos comuns as
mencionamos:
relacionados empresas do
à segurança setor energético
cibernética incluem são a liberação
capacitação de recursos de
e treinamento orçamentários
pessoal e uso para investimen
de tecnologias
É1.importante atentar
Definiratenção
um para o fato denacional;
padrão/framework que o ambiente da subestação é compartilhado por diferentes empresas e que os siste
Merecem
As empresas em as seguintes
geral não têm áreas prestadoras
ambientes dede
teste de serviços ao
específicos setor elétrico:
O
•2. desafio maior na
Reduzir o déficit
Tecnologias: Chesf diz respeito à área
de formação/disponibilidade
prover sistemas e serviços TO.de
seguros. A área de TIdejásegurança
profissionais possui cibernética,
soluções
de segurança nomaduras nãoe existem
mercado deáreas
OT); especificas
procedimentos
(rede e co
bem estabele
Algumas
Por
3. fim, práticas comuns
deve-se mecanismos
Estabelecer levar em de segurança
consideração cibernética
o desafio
quea permitam em TI
e oerisco
o reconhecimento não são imediatamente
operacional
tarifário inerentes aplicáveis
à complexidade
dos investimentos ao
feitos âmbito de
da adaptação
pelas TO e algumas
dos sistem
distribuidoras sã
nesta
•No que Telecomunicações:
concerne aos garantir
temas que confidencialidade
merecem atenção em integridade
relação à dos dados
segurança transportados
cibernética, em suas
indica-se o redes.
estabelecimento de cri
De
4.
•Todos forma geral,
Permitir teríamos
a troca conceitualmente
de informações desafios
de inteligência referentes
entre as a todosseus
empresas os seguimentos
e órgãos como:que lidam com ameaças à segu
do governo
Vale Engenharia:
os temas
ressaltar queeadotar
áreas políticas
merecem
os segmentos de
de segurança
atenção
distribuição cibernética
no âmbito e capacitar
de segurança
e comercialização, por colaboradores.
cibernética.
exemplo, Em especial,utilizar
poderiam existem diversos desafios
profissionais que
e técnicas
•SeriaFornecedores:
válido contar disponibilizar
com o apoio no mercado
regulatório produtos
para estudo com
e requisitos
recomendações de segurança
de nativos.
arquitetura de rede de tecnologia da informa
-•Por obsolescência
fim, os temas tecnológica
que mereceme custos paraem
atenção adequação
relação àde infraestrutura
segurança em instalações
cibernética são, sempre(retrofit);
no âmbito
Outro
-1
Agentes:
desafio,
remuneração
garantir
seria
do
a segurança
prover
investimento do
cibernética
os serviços
agente
em seus
de segurança
através da
perímetros.
cibernética
ferramenta node setor elétrico,
remuneração oreferente
qual necessita dedaprofissionais
ao seguimento
Tecnologia com de Ope
do mesmo (ta co
Gerenciamento e monitoramento do risco e de vulnerabilidades
• Telemedição: garantir a integridade e a disponibilidade dos dados de medição. da segurança;
-2
Em prazo paraao
Resposta
relação obsolescência
asegmento de um ativo dee proteção
incidentesde(transmissora
comercialização, geradoras cibernética
entendemos – itemque éprincipal
menor que
de osegurança um ativo
nacional);
desafio está elétrico (entre
na proteção de3dados
e 5 anos no máxim
e informaçõe
-3Infraestrutura
Frameworkde telecomunicações
e políticas para o setor deelétrico.
baixa capacidade em localidades remotas (onde estão instalados os empreendime
-Na visão
4Manutençãodo Grupo CPFL de
Energia,
de equipamentos
Compartilhamento ameaçaso desafio
específicos
e melhorprincipal do Sistema
depreparação
segurança Elétrico
cibernética
para defesa. emBrasileiro
localidades– SEB no que(falta
remotas tangedeà equipes
segurança cibernéti
especializa
O
EmGrupo CPFL Energia
particular, no caso também ressalta
do segmento que a inclusão
de distribuição, de novas
também tecnologiasdestacar
é importante conectadas via internet
a grande nasdas
extensão infraestruturas de
áreas de conce
Visto o constante avanço na tecnologia da informação, o principal objetivo para as empresas do setor elétrico é conseguir
Por fim, destaca-se que o investimento na estruturação de um programa de segurança cibernética abrangente, contempla
Os
O
Para grandes
setor desafios
tal,elétrico
é preciso na transmissão
porgarantir
ser infraestrutura são:
crítica estáfísico
o desmembramento cadaentre
vez mais exposto
as redes a ameaças
corporativas que podem
e redes afetar
operativas significativamente
seguindo a
soluções que
-ODiversidade das instalações
principal desafio com equipamentos
para as empresas é conseguir eimplementar
sistemas dearquiteturas de segurança específicas, processo de gestão d
gerações distintas
Deve assegurar (sistemas
sobre legados).
a segregação física entre suas redes corporativas e redes operativas (automação) bem como adotar
- Múltiplos agentes nas mesmas instalações com necessidade de
integrações com padrões e exigências diferentes.
-Os principais desafios
Complexidade incluem os de
para atualização investimentos financeiros que
sistemas e equipamentos emdeverã
operação, devido a dificuldade de execução de testes e garantia de
Geração: ter uma
funcionamento gestão unificada
adequado, uma da entre a Segurança
vezinformação
que quando Corporativa
instalado, o e Segu
Manter os pilares da segurança como a Confidencialidade, Integridade e Disponibilidade (CID).
equipamento
Com relação àpassa por uma
distribuição e bateria de testes
comercialização, oe comissionamento,
tema mais
Aplicar o mesmo nivel de controle dos sistemas IT no ambiente OT, inc crítico que
refere-se às funcionalidades disponibilizadas aos clientes
se tornamde
A adoção praticamente
metodologias inviáveis após a sua
de governança entrada
como o ITILem
v4 operação.
proporcionarão meios para a monitoração e com os dados levant
- Evolução cultural das empresas no tema segurança cibernética,
incluindo estrutura organizacional, capacitação e conscientização de
suas equipes
Para enumerar temas e áreas de prestação do serviços requer um leva
Sem comentários.
Nossa empresa tem trabalhado com empresas de energia de todos os segme

Os desafios maiores são quanto a melhoria da infraestrutura física e m

Para a transmissão:
A
- percepção compartilhada
Desafio financeiro para dos riscos, vulnerabilidades
a aquisição e ameaças
de recursos tecnológicos é oimplementação
para maior desafio para todos os segmentos.
de melhorias de segurança Isso ocorre
cibernéti
Outro
-Há riscos grande
Adaptação desafio
do parqueé incorporar melhores
legado e atualização práticas de segurança
de equipamentos em sistemas
em operação legados, muitas vezes desenvolvidos para
Os segmentosque devem ser devidamente considerados em todos os segmentos dopara
setoratendimento
elétrico. aos eventuais
De maneira geral, requisitos
são três a
- Evolução cultural das empresas no tema segurança cibernética, incluindo estrutura organizacional, capacitação eprec
de geração, transmissão e distribuição possuem algumas características em comum. Estes três setores cons
As
-Nesse distribuidoras
Terceirização à medida que
agravadaa pela forem implantando
incapacidade medidores
da própria empresa inteligentes
em lidar passarão a ter
com osinteligentes uma preocupação
novos requisitos, egrids), adicional,
consequente uma
gestão
Um sentido, destaca-se discussão sobre asegmentos,
implementação das redes elétricas (smart que se utilizam
- dos
Existe maiores
uma
Gestão desafios,
similaridade
da arquitetura noscomum
desafios
das redesa todos
de TI os
enfrentados por cada
e TO dentro dasé aelo
disseminação
da cadeia
empresas, deaos
assim colaboradores
valor
como do dos
setor elétrico
organizacional. requisitos
(geração, etransmissão
procedimen d
Exemplos
Em
-Um comumGestão detemos:
deataques que foram iniciados
estabelecimento
acessantes de uma porpolítica
erro deformal
procedimento
de segurançade colaboradores:
cibernética, que seja amplamente divulgada inte
Ataque
Ainda, desses desafios
acibernético
gestão é o fatoàde
recente
de arquiteturas que
estatal aEmpresa
de redes rededeelétrica
TI de inteligente
Pesquisa
(tecnologia permite(EPE),
Energética
da Informação) um efluxo
ligada
TO de ao
informações
Ministério
(tecnologia mais sensíveis
de Minas
da Operação) sobrecomum
e Energia
são temas noosdia
co
Ataques cibernéticos na Ucrânia em 2017 ocorreram em série, mais precisamente
Vale ressaltar que Segurança Cibernética é algo que demanda manutenção ao longo do tempo. Logo, um projeto não apre no dia 27 de junho. Assim invadiu-se pá
PorMerecem
2) isso, tais atenção
sistemasas devem ter uma
seguintes áreas visão de segurança
prestadoras também
de serviços aoorientada aos consumidores. Isso quer dizer não apenas
setor elétrico:
Destacam-se como desafios de
Durante compartilhamento a ausência
instalações de processos e de tecnologias
nas subestações de transmissão,adequados, bem como
os acessantes, a falta
muitas de treinamento
vezes, instalam seus dasequ
pe
Assim, Alémo disso,
Idec a
alerta distribuição
para a e comercialização
necessidade de enfrentam
consideração sobredesafios,
riscos àcomo o
segurança atendimento
da a
informação
Os serviços de manutenção e de instalação nas próprias unidades industriais são realizados por empresas terceiras, muitas LGPD,em enquanto
todas as a geração,
etapas da tr
cad
Nas Outro desafio/dificuldade
distribuidoras, cuidados comdasaempresas
segurança do
de setor é a insegurança
informações pessoais. no compartilhamento de informações sobre inciden
Durante
Os maiores
Destaca-se, umdesafios
ataquecomo
ainda, cibernético,
paraum o sistema os sistemas
de de
transmissãoTI e com
de controle
relação industrial
à segurança (ICS) sãopara
tipicamente
cibernética asestão separados
relacionados deà forma
obtenção compl
de
Tecnologia: prover sistemas egrande
serviços desafio, a obtenção
seguros. de orçamento, específico atividades de segurança ciberné
Os
A investimentos
descontinuidade
Telecomunicações: relacionados
de produtos,
garantir à segurança
fruto da
a confidencialidade cibernética
rápida incluem
obsolescência,
e integridade capacitação
por parte
dos dados do e treinamento
fabricante
transportados é de
outro
pelas pessoal
aspecto e auso
ser de tecnologias
considerado.
Vale Merecem
ressaltar que um
atenção, sistema de produção
em relação à segurançaautônomo implica
cibernética, asque nenhuma
seguintes áreas otimização
prestadoras paradesuas redes.em circuito fechad
operação
serviços ao setor elétrico:
Engenharia: adotar políticas de segurança cibernética e capacitar seus colaboradores.
•Fornecedores:
Tecnologias: prover sistemas e serviços seguros;
disponibilizar no mercado produtos com requisitos de segurança nativos
•Agentes:
ComTelecomunicações:
garantir
relação ao segmento garantir
a segurança a confidencialidade
cibernética
de transmissão, em e integridade
seusdestaca
o ONS perímetros dos dados transportados em suas redes;
o tema “Digital
•Telemedição:
Engenharia: adotara integridade
garantir políticas edea disponibilidade
segurança cibernética
dos dados e capacitar
de medição. seus colaboradores;
• Fornecedores: disponibilizar no mercado produtos com requisitos de segurança nativos;
• Agentes: garantir a segurança cibernética em seus perímetros; e
Como
A já citado
• tendência nasanteriormente
Telemedição: garantir a os
infraestruturas sistemas
críticas
integridade utilizados
de energia na operação
saírem
e a disponibilidadedo padrão do dados
dos sistema deelétrico
eletromecânicomedição. devem
para receber
o digital nosa maior
segmentos atenção para
do setor
Um dostema
Por ser grandes desafios dos
de fronteira agentes é conseguir
do conhecimento, implementar
a segurança cibernéticaarquiteturas de segurança
exigirá novos tipos deespecíficas,
profissionaisprocesso
e, portanto,de gestão
será n
Deve assegurar sobre
Tal capacitação pode ser a segregação
realizada com físicatreinamentos
entre suas redes corporativas
de curta e redes aoperativas
duração voltada certificações(automação)
de segurança bemecomo adotar
disponibiliza
Vale ressaltar o desafio das empresas para a implantação de um programa eficaz de conscientização sobre segurança cibe
No caso da distribuição, ocorrendo uma evolução da internet das coisas, os cuidados com a segurança cibernética deverão
Para poder acompanhar a evolução tecnológica, as soluções regulatórias
não devem descrever os detalhes executivos a implementar, mas definir os
As soluçõesrequisitos
conceitos, regulatórias devem considerarutilizando
e responsabilidades padrões mínimos, que
referencias depermitam a evolução tecnológica dos mesmos.
normas, já que estas sofrem atualizações de acordo com a evolução das
Para
Comoacompanhar
tecnologias. a evolução tecnológica,
devem ser consideradas as soluçõesas soluções regulatórias
regulatórias nãosejam
para que não devem descrever
cO grupo arquiteturas,
empresarial prati especificar tecnolog
Ex: Não definir como deve ser uma senha, mas definir a necessidade do
Torna-se
acesso terimprescindível, também, acompanhar a evolução tecnológica na área
autenticação segura. Nãode segurança e, se possível, proporcionar u
A
A LIGHT entende
ausência que devedos
de atualização ter parâmetros
uma regulação mínima que prescrevaconforme
econômico-regulatórios, padrõesNãomínimos
o avançoadaserem seguidos
tecnologia, e a partiruma
já constitui de dete
bar
Os requisitos regulatórios
A autoregulamentação devem
pura, deixaser tais quea não
margem impeçam ono
subjetividades cumprimento de
Nãoatividades
nosso já complicado técnicas
arcabouço imprescindíveis
legal a projets
brasileiro, deixando
Neste sentido, uma abordagem inicialmente mais simples e genérica, com objetivos claros auditáveis nos parece ser mais
Para poder acompanhar
A regulação deve focar ema evolução
diretrizestecnológica,
de segurança,as soluções
e não emregulatórias
detalhamentonãoSim
devem descrever arquiteturas, especificar te
Os agentes devem ter autonomia para implementar as soluções através dos recursos disponíveis tecnológicos e humanos
Ex: Não definir como deve ser uma senha, mas definir a necessidade de o acesso Sim ter autenticação segura.
Sim
Acredito que seria muito importante que as soluções a serem implantadas, Sim
Acreditamos no senso comum relacionado a essa questão: as soluções regulat
Não
Corroboramos
Regulamentos de com a contribuição
caráter danão
orientativo ABDIB de que
criam as soluções
barreiras tecnológicas
nem custos para os sejam amplamente
agentes. debatidas
Assim, a avaliação deem
umaumempresa
âmbito
Por fim, a avaliação dessas soluções técnicas pela ANEEL no âmbito da regulamentação, será importante para evitar que u
Não
Os requisitos regulatórios devem ser tais que não impeçam o cumprimento de atividades técnicas imprescindíveis a projet
Uma abordagem inicialmente mais simples e genérica, com objetivos claros Sim auditáveis parece ser mais apropriada (por exe
A resposta segue na segunda contribuição devido a limite de caracteres.
Sugere-se
Novas que astecnológicas
soluções soluções regulatórias
trazem novassejam orientativasde
possibilidades e com requisitos
resolver mínimos,
problemas evitando-se
Sim utilizando ao máximo
tecnologia a prescrição
de ponta e com recud
Aqui cabe destacar que as empresas de desenvolvimento de tecnologias (fornecedores) devem atender requisitos mínimo
Poderia
Sugere-seserainda
criado
queumexistam
mecanismo queperiódicas
revisitas pudesse agilizar os investimentos
à regulação para discutirem projetos
seSim
existem oucom foco
não em segurança
bloqueios para o cibernética,
avanço tecn
Para o Grupo Energisa, como já citado deve-se avançar para uma regulamentação orientativa. Isso implicaria em um escop
Eventual regulamentação
A regulamentação deve
atual para também
esses atentar-se
agentes para nãoé inibir
por concepção morosa a exploração
ser interna
e podeNão ao agente
um dificultador aodo SEB de dados operati
desenvolvimento tecno
As soluções
Eventual regulatórias deveriam
regulamentação definir
mínima deve os requisitos
levar em conta mínimos
o parqueaatualmente
serem atendidos, cabendo
instalado a cadado
nos agentes agente definir
SEB, de formaas asoluç
não
Portanto, conforme já comentamos a regulamentação deve ser mínima e orientativa, Não por meio de recomendações, melho
A evolução tecnológica, produtos e serviços devem ser desenvolvidos já considerando estes controles. Conhecer os requis
Reforça-se
atualizadasque
peloaórgão
regulação deveria
regulador emdefinir os requisitos
conjunto mínimos de segurança
com os agentes. Simcibernética que deveriam ser atingidos pelo
Devem ser consideradas soluções baseadas na análise de riscos e vulnerabilidades, para tal é preciso entender que as solu
As soluções regulatórias poderiam incluir também a criação de um Comitê Executivo Sim de definição de diretrizes, normativas
Existem frameworks/normas referências como NIST CSF, SABSA, NERC CIP. Podendo ser utilizadas adicionalmente ISO/IEC
As soluções regulatórias, segundo uma abordagem orientativa, deveriam estabelecer Sim uma camada mínima de controles a
Vale ressaltar ser importante que autoridades regulatórias competentes, a exemplo de ANATEL, ANEEL e, futuramente a A
Sim
O risco associados a ataques cibernéticos é dinâmico, desta maneira é impoSim
A regulamentação deve conter tópicos específicos sobre evolução tecnológicNão
Acredito que o melhor caminho seria utilizar como base regulamentações e Sim
no
Uma das formas seria a criação de um Comitê de Gerenciamento de Mudança
Não
A regulação deve ser parcialmente orientativa, a fim de não criar barreiras Sim
Acredito em um comitê com elaboração de documentos obrigatórios, boas práticas para implementação, encontros anuai
Conforme explanado anteriormente, sugere-se uma regulação menos prescritiva, contendo princípios e diretrizes. Pode se
Acho controverso este tema. Não penso que a segurança cibernética seja uma barreira para a evolução tecnológica. Enxer

Devem ser factíveis aos preceitos dos normativos regulatórios atuais de cada seguimento, incrementando recursos com vi

Sim
Sim
Não

Não
A barreira à evolução tecnológica pode ocorrer se os requisitos criados pelos órgãos reguladores tratarem de soluções defi
A
OuDigitalização está transformando
seja, cada empresa diversos
ter a sua política aspectos da
de segurança vida moderna.
cibernética Atualmente, bilhões de dispositivos estão conecta
e segui-la.
Logo, dado que os ciclos tecnológicos dessas tecnologias emergentes (IoE) estão cada vez mais curtos, sugere-se que exist
Ainda, sugere-se que a regulação aborde os mecanismos de segurança que devam ser aplicados, mas não que tecnologia o
O Idec considera que duas preocupações devem ser centrais no que tange possibilidade
Sim de inovação no setor de energia e
Outro elemento que pode gerar óbices à inovação é a ausência de competição adequada no mercado, já que a concorrênc
Sugerimos que as soluções tecnológicas sejam amplamente debatidas em um âmbito técnico dos agentes e que se vincule
Para criar um foro específico técnico sobre segurança cibernética e desenvolvimento de alternativas tecnológicas adequad
De todo modo, quando da avaliação dessas soluções técnicas pela ANEEL no âmbito da regulamentação, entendemos que
Ver resposta para o questionamento n. 5.
As
As soluções
soluções regulatórias
regulatórias deverão ter foco nos
devem considerar resultados,
critérios usarem
baseados estruturas
práticasde gestão deaceitas,
largamente riscos cibernéticos flexíveis,
referenciadas enfatiza
nos demais fr
Se a regulação
Ações se dáaatravés
que agilizem de, por
elaboração exemplo, uma
e atualização estrutura de gestão
de regulamentações, de riscosdacibernéticos
à exemplo CP28/2020,flexível
podemcomo o aajustes
facilitar do NIST, qu
e ev
Podem ser prescritivas,
As normas, limitando-se
padrões e processos a requisitos
a serem adotados mínimos
deverãoque
serpermitam às empresas como
sempre especificados adotarem açõesmínimos,
requisitos e políticasdeixando
de seguraa
Uma alternativa que pode ser considerada, também, é a criação de um mecanismo que possa agilizar os investimentos em
É importante que a regulação foque em diretrizes de segurança, priorizando mais as funcionalidades, sendo estas de carát
Uma
O fatovez reconhecida
é que os agentesa importância da segurança
devem ter autonomia paracibernética no setor
implementar elétrico,
as soluções é necessário
através dar o disponíveis
dos recursos passo inicialtecnológicos
para melho
O foco das medidas regulatórias deve ser mantido em princípios para evitar a criação de processos burocráticos e novos cu
Assim, a regulamentação poderá ser discutida e implementada com base em “objetivos” e “fins”, evitando amarras e reco
A exemplo de outras áreas com uso mais intenso da tecnologia, a evolução das questões relacionadas com a segurança cib
Caso venha a ser estabelecida, a regulamentação deve ter como orientação ser um facilitador da evolução e não o contrár
 Sobre os pontos positivos e negativos da troca de informações seguem abaixo.

Pontos Positivos:
Apesar - Permite de anãotroca praticar trocas de informações
de conhecimentos e experiências no exterior, entendemos que
sobre cibersegurança a troca
para de informações
a implementação de pode possibilitar:
melhorias nos
conhecimentos
processos
No caso deepraticar e experiências
políticastrocas de informação no exterior, existe algum órgão centralizador das informações ou a troca éa
de segurança. sobre cibersegurança, estimulando melhorias nos processos e políticas da empresa,
adoção
-diretamente
Promove de agilidade
medidas
entre asemergenciais
na troca
empresas? preventivas,
de informações
Quais empositivos
que
os segurança
pontos função de
possibilitem incidentes
a adoção
decorrentes detectados
de medidas por outras empresas;
emergenciais de a cooperação
prevenção a
Nosso
mútua grupo
entre compartilha
empresas e informações
profissionais de
de segurança internamente,
que estejam comda
sofrendo
troca
a finalidade
ou
de...
tenham desofrido
identificar
o ações
mesmo coordenadas
tipo de incidente,de
incidentes
ataque e detectados
melhorar o em geral
nível outrasdeempresas
segurança. do setor;
para
- Permite fins de resposta.
a cooperação
O compartilhamento demútua entre empresas
informações de segurança e profissionais
é importante de para
segurança que estejam
a manutenção sofrendo
do nível ou tenham
de segurança dosofrido
setor. Noo
mesmo
entanto, tipo
o de incidente;
reporte deveria ser realizado em fórum controlado, com acordos de confidencialidade entre as partes, proteção
Os pontos negativos
-daFavorece a troca deseriam eventuais
conhecimento comexposições
empresas dessas informações em esegurança
das vulnerabilidades acaso existentes.
confidencialidade dos dados. O ponto positivo é aespecializadas
colaboração entre os agentes dapara
Informação.
a melhoria na identificação e
prevenção de ameaças e incidentes cibernéticos do setor elétrico. O ponto negativo seria, no caso de não haver proteção
A
Pontos ChesfNegativos:
adequada nodasmomento não pratica
informações, a troca de
a divulgação informações
indevida de segurança
de informações energética
incompletas de no exterior.
análises de segurança a terceiros. Como
Para
-osRiscoataques independem da vontade do agente, o compartilhamento de informações não devecom
a área
de de
exposiçãoTI existe
de um compartilhamento
informações e de
vulnerabilidades informações
da empresasobre a incidentes
terceiros; de segurança as empresas
ser motivo do grupo
de sanção.
Eletrobras. Na área de TO atualmente não ocorre compartilhamento de informações sobre incidentes de segurança. A
equipe de TI da Chesf também recebe informações de incidentes de uma lista administrada pelo DSI – Departamento de
Segurança da Informação – que é órgão ligado ao Gabinete de Segurança Institucional da Presidência. Essas informações
Existem
são reportadas alguns grupos
aos órgãos de discussões
da administração(ex. WhatsApp
direta por e Telegram)
meio do CTIR ondeGov é possível
– Centro a atualização
de Tratamento de muita coisa que
e Resposta a Incidentes
acontece, no
Cibernéticos de Governo.Brasil e no mundo, referente a segurança cibernética, bem como sobre ataques à infraestruturas críticas,
gerandopositivos:
Pontos discussões entre muitos especialistas desta área.
A
O troca
Grupode informações
Energisa tem como
não realiza trocapontos positivos fora
de informações a possibilidade
ou dentro do de Brasil.
adoçãoNo deentanto,
medidasele emergenciais
se subsidiade deforma ágil e
informações
eficaz nodisponíveis
públicas sentido de na se proteger
internet ou de naataques
imprensa;cibernéticos
e, também, ocorridos
de formaem indireta,
outras empresas
por meiodo setor,
das bem como ade
recomendações troca de
sim, a avaliaçãoexperiência
de uma entre
atualizações feitasos
empresa porprofissionais
aoparte
mudar dosde dessas
fornecedores
sistema empresas visando
de hardware
ou escolher aemelhoria
de software,
determinada dos como
ferramentaprocessos relacionados
éobrigação
balizada contratual
unicamente à segurança
destes.
por sua eficiência,
cibernética.
Os pontos positivos decorrentes da troca de informação seriam:
Pontos negativos: de aceleração de correção de novas vulnerabilidades e da maturidade e mindset de segurança;
• possibilidade
Os pontos
• divulgação negativos consistem
de melhores na publicidade
práticas adotadas;negativa que um incidente pode trazer à imagem da empresa, bem como
•no risco de exposição
Disseminar alertasdee umaalarmesvulnerabilidade
para outros agentesda empresa a terceiros.
do setor; e
A
• resposta segue na segunda
Compartilhamento contribuição
de inteligência devido a limite
de atividades de caracteres.
suspeitas.
O
Os
Os Grupo
comitês
pontos CPFL
de Energia não promove
cibersegurança
negativos: do Grupo a troca de informações
Iberdrola sobre segurança
são os interlocutores para acibernética com as demais
troca das informações empresas
entre as áreasdono
A troca
setor.
Brasil e de
em informações
Todavia,outros são países. noNo
promovidas exterior
entanto, é realizada
trocas de
toda a diretamente
informações
troca de com entre asocorre
empresas
informações empresas
parceiras,
somentedocomgrupo por
vistas
entre asà meio de representantes
mitigação
empresas de
do riscos
grupo. em
passíveis
•cadaestrutura que de se comunicação
País,enfrentados. reúnem em caso insuficiente para compartilhamento
de vulnerabilidades identificadas entre
para empresas
definir de forma
as ações segura;
nos casos necessários.
de serem
•Entrepossibilidade Nesse contexto, o Grupo CPFL Energia entende que poderia ser criado um fórum dos Chief
Trocas ode
Information Grupo EDPde
Security
informações
vazamento
Brasil
Officere sua
podem
de informações
matriz
– CISOs,
levar a em
com
uma Portugal
vistas
maior
privadas
a trocado
à difusão
promoção
ededeinformações
estratégias éem
dosedebate
conhecimento sobre
segurança
direta entre as
as otendências
sobre ameaças
para público
áreas
no âmbito
cibernéticas
externo; eda
de Segurança
da segurança
(que estão sempre
Considerando
Não se aplica
Informação. a manifestação ao questionamento 08, em que manifesta que regulamento deve contemplar apenas a
cibernética.
evoluindo)
OT, além
o Grupo global de
Energisa proporcionar fóruns para a avaliação de soluções tecnológicas adotadas. No entanto, quando o mas
O programa deentende que nãododeve
cibersegurança grupo haver
ENEL obrigação
adotou um de compartilhamento
modelo de colaboração de informação
para trocaentre empresas,
de informações sobre
compartilhamento
que poderia
incidentes de ser não
feito
segurança deéforma
realizado
entre as de forma
voluntária estruturada,
e entidades
cooperativa sepodem ocorrer
as empresas diversos
assim tipos
desejarem. dede problemas, comoe mal-
Além
Tal disso,poderia
fórum
entendidos, existe
exposição também
ser estendido
indevidaa troca aprincipais
das de informações
fornecedores,
partes osentre
envolvidas,
internacionais
quais apoderiam
matriz
exposição de
do CERT
emcompartilhar
Portugal (Centro
e oos
vulnerabilidades Centro Estudos,
desafios
não de Estudos
corrigidas
Resposta
para
e as atualizações
em
Tratamento
Resposta
infraestruturas e
tecnológicas
de
que Incidentes,
Tratamento
devem de
ser inclusive
Incidentes
realizadas com em
no Brasil
ambiente,junto
Computadores ao
bem CERT.br.
(CERT)
como a de Portugal,
empresas de trata-se de um
telecomunicações, serviçoas integrante
quais que
poderiam coordena
contribuir anas
críticas,
Esse dentre
modelo outros.troca de informações entre entidades CERT de cada país em caso de ataques cibernéticos. Este
permite
resposta
discussões a incidentes
evidenciando envolvendo
possibilidadesentidades do Estado,
de mitigação deoperadores
ataques, bem de como
serviços essenciais, operadores
apresentando as soluções de Infraestruturas
já implantadas no
modelo
Críticas também
nacionais prevê
e trocas
prestadores
Sistema Brasileiro de Telecomunicações. comde outras
serviços entidades
digitais). afiliadas
O grande como:
ponto empresas,
positivo é universidades,
a sinergia e provedores
rapidez nas de serviço
trocas de de
internet,
informações. etc.
Adicionalmente,
A Amazonas Energia temos nãoa pratica
manutenção troca de informações
estatísticas públicas
nem dentro dos incidentes
nem fora do tratados e das reclamações
Brasil sobre o assunto citado. de spam
recebidas.
Não existe uma formalidade de troca de informações de ataques cibernéticos entre as empresas, porque geralmente são
informações sigilosas e muitas empresas não divulgam detalhes porque podem comprometer a imagem e segurança da
Fazemos
empresa.troca de informações com empresas do setor elétrico no Brasil e, fora do brasil, entre os seus sócios na Espanha e
Colômbia.
São
Ponto trocadas Não
positivo: há conhecimento
informações
A troca de entre
informaçõessobre algum
profissionais órgão
das
facilitaria centralizador.
aempresas
aplicação dodegrupo
açõesABRATE, mas hoje sem
mais direcionadas um processo
e imediatas documentado
de proteção de e
sem
dados,
O um órgão
elevando centralizador.
o grau de segurança.
grupo Brookfield Renewable tem presença global, onde as estratégias de cibersegurança das operações são
N/A.
Ponto negativo:pela
acompanhadas Seriaholding,
a exposição baseada das no vulnerabilidades
Canadá, que concentra e consequentemente
as informações a possibilidade
de controles,deriscos ataques mais direcionados
e incidentes e
Os
parapontos
cada positivos
tecnologia
apresenta aos controladores. são um
adotada aprendizado
pela empresa. sobre ameaças, vulnerabilidades e boas práticas em empresas que atuam no
mesmo segmento.

Os pontos negativos podem advir de um compartilhamento inapropriado de informação da empresa. Uma padronização
poderia mitigar esse ponto. Possíveis penalizações por parte do órgão regulatório, utilizando declarações das empresas.
implementação, encontros anuais, a fim de estar sempre alinhado com as atualidades.
do princípios e diretrizes. Pode ser exigido que as empresas adotem uma política de segurança cibernética contendo itens mínimos e u
ara a evolução tecnológica. Enxergo a segurança cibernética como um requisito necessário para a digitalização do setor elétrico e que

, incrementando recursos com vista a incetivar as concessões de forma simétrica, fazendo com que seja reconhecido os investimentos
 ladores tratarem de soluções definidas e aplicáveis com soluções fixas. A regulação deve limitar-se aos objetivos de segurança ciberné
ões de dispositivos estão conectados através da Internet das Coisas (IoT) e a mesma tendência começa a se estabelecer no setor elétri
z mais curtos, sugere-se que existam revisitas periódicas à regulação para discutir se existem ou não bloqueios para o avanço tecnológ
licados, mas não que tecnologia ou solução deveria ser empregada. Assim, deixa-se espaço para a entrada de tecnologias que cumpra
de inovação no setor de energia elétrica: a cooperação entre instituições e a concorrência no mercado. A primeira preocupação decor
no mercado, já que a concorrência gera incentivos para que empresas criem soluções inovadoras. Como consequência, o serviço pode
nico dos agentes e que se vinculem ao conceito de uma abordagem orientativa, com critérios regulatórios mínimos preestabelecidos.
alternativas tecnológicas adequadas, nos parece válido que a ANEEL coordene um programa de P&D estratégico, uma vez que a reuniã
egulamentação, entendemos que será importante evitar que um eventual detalhamento técnico ou fixação de soluções tecnológicas e

cos cibernéticos
eitas, referenciadasflexíveis, enfatizar
nos demais a continuidade
frameworks, dos serviços
amplamente e alinhamento
discutidas no setor ecom padrões reconhecidos
tecnologicamente nacional e internacionalmen
agnósticas.
ticos
2020,flexível
podemcomo o aajustes
facilitar do NIST, que permite
e eventuais que o Regulador
adequações estabeleça a taxonomia e os resultados esperados deixando ao agente a o
regulatórias.
otarem
mo açõesmínimos,
requisitos e políticasdeixando
de segurança adequadas
a cargo do agenteasimplementar
suas especificidades.
soluções adicionais e / ou mais modernas.
ossa agilizar os investimentos em projetos voltados para a segurança cibernética, principalmente nos setores de geração e transmissã
ionalidades, sendo estas de caráter mais amplo que uma tecnologia específica e que possam ser implantadas por um ou mais sistemas
rio dar o disponíveis
recursos passo inicialtecnológicos
para melhorar o ambiente
e humanos queregulatório.
julgarem necessários, dentro da realidade de cada empresa.
processos burocráticos e novos custos atrelados a tais burocracias.
e “fins”, evitando amarras e reconhecendo a necessidade de adaptações flexíveis pelos próprios agentes ao longo dos estágios iniciais
relacionadas com a segurança cibernética devem ocorrer de forma muito rápida. O estabelecimento de alguma regulamentação não d
ador da evolução e não o contrário.
O compartilhamento
Qual de informações
a forma mais adequada poderia
de realizar ocorrer
a prática através deQuais
de comparti um canal criado
ações, para essa finalidade, sob a responsabilida
envolvendo
Há
Paraque se considerar
fazer que a divulgação
o compartilhamento de situações
de informações de risco
deveria pode
ter uma Aplafetar
ANEEL sobremaneira tanto
e ONS poderiam o valor de mercado
disponibilizar de umade
uma plataforma e
Visto
Cumpre destacar, também, que cada dia mais as redes dos agentes seque
A ANEEL quase sempre
interligam
poderia nas
atuar no escopo
subestações
como dedeinterconexão
sponsor ataques
da cibernético
escolha e criação
através
Na visão da LIGHT o normativo sobre a troca de informações devA ameaça de ataques cibernéticos é perpetrada por atores
Criação de uma plataforma de acesso público, por um órgão independente e isento, onde seria permitido aos agentes o co
As
As empresas devem
informações ser incentivadas
de alertas e incidentesa implantar
aos ativos programa de educação
do setor pod Inclusão de
e conscientização
dispositivo
ANEEL poderia, nos dos
em conjuntoatosprofissionais
comnormativos da
envolvidos
ANEEL
outras agências para
em
regulado
Seria um incentivo aos agentes haver um canal de compartilhamento Criação
onde
de uma
tais informações
plataforma de
nãoacesso
pudessem
público,
serpor
usadas
um órgã
com

Através de publicações, no próprio site da ANEEL (por exempl -Talvez

Promover workshops
a formação anuaisde
de grupos com participação
discussão de fornece
com representa
Talvez um sistema de acesso restrito para atuantes no setor que- permite
Realização
acesso
de auditorias
a casos denas
ataques
plantas
e base
(apósde
normatização)
vulnerabilid
Novamente entra em discussão a qualidade do monitoramento a- Suporte
fim de permitir
no planejamento
avaliação efinanceiro
diagnóstico
envolvido
corretos.
em grand
Os agentes poderiam firmar um acordo conjunto para o compartil
Como a discussão do tema ainda é incipiente, sugerimos a
Corroboramos com a contribuição da ABDIB sobre os cuidados ne
A tempestiva comunicação entre os agentes, se bem organ
É importante que haja uma regulamentação a fim de estabelecerUm grupo de tratamento e resposta a incidentes dentro d
A resposta segue na segunda contribuição devido a limite de caracteres.
A resposta segue na segunda contribuição devido a limite
O compartilhamento de informações sem comprometer a privacidadeA ANEELe opoderia
anonimato
auxiliar
dasna
empresas
definição
poderiam
e criaçãoser
deefetuado
um órgã
Assim, como ocorre em outros países, acreditamos que um canalNo deque
reporte
diz respeita
gerenciado
a primeira,
pela CERT.br
acreditamos
seria oque
maiso adequad
reporte
Um exemplo de ferramenta para este fim, a qual foi utilizada durante
No segundo
o exercício
item,Guardião
caberia um
Cibernético
estudo sobre
2, envolvendo
a possibilidade
algu
Entende-se que seria possível a criação de um sistema par
A CEMIG entende que o compartilhamento de informações é delic Como a discussão do tema ainda é incipiente, sugerimos a
O
O compartilhamento de informações
Grupo Energisa entende relacionadas
que em caso de ataque acibernético
incidentesem
cibernéticos
A
C ANEEL poderia
onsiderandoe lições
criar
aprendidas
umapresentada
a resposta grupoentre
de trabalho
os agentes
ou comitê
à perguntaé10,
bem-vin
paq
em
Boas práticas podem ser discutidas através de fóruns ou co
Em termos práticos, uma sugestão seria a criação de um sistema/base
Além disso,
para que
a ANEEL
os agentes
poderiapudessem
disponibilizar
postaruma
informações
ferrament
O Grupo EDP entende que boas práticas na gestão da segurançaPara
cibernética
tal, a ANEEL
podempode
ser criar
compartilhadas
um comitê setorial
através de
para
fóruns
discuo
O Grupo CPFL Energia entende que a criação de um fórum restritConforme já explicitado no item anterior, entende-se que
Além disso, para o compartilhamento de informações sensíveis sem
Assim,
comprometer
o Grupo EDPa entende
privacidade
queeoopapel
anonimato
da ANEEL
das seria
empre o

O Grupo Enel considera que informações relacionadas a incidenPor tratar-se de um tema sensível, a prática de compartilh
Para preservar o anonimato e a privacidade, entendemos que o A Ac ANEEL
ANEEL ou o Operador
poderia Nacional pela:
ser responsável do Sistema - ONS poderi
• Criação e manutenção
A ANEEL poderia criar um Portal de Tecnologia da Informação Respondido na questão 14. da plataforma de compartilham
• Atuar na definição dos requisitos mínimos para forma
Criação
Através de
de uma plataforma
foruns de com
especificos, comunicação entre de
acesso restrito as empresas
interessa do
•Poderia
setor
Elaboração
elétricoum
prover de
quefórum
uma
permita
base odecompartilhamento
conhecimento
recorrente compartilh
dedeinfor
com os líderes cib
Formação de um squad de resposta à segurança baseado nos padrões • Definição
do CSIRTdederequisitos
segurançatécnicos/tecnológicos
definidos no framework
mínimo
do N

Uma padronização e um orgão centralizador podem mitigar o c Poderia indicar ou criar um orgão centralizador, a exemplo
Um canal seguro, com garantias privacidade. O compartilhamento
Prover o ambiente para ocorrer compartilhamento de info
O compartilhamento de informações deve ser realizado de forma
Acredito que o papel da ANEEL tem que ser o de facilitado
As empresas podem compartilhar seus dados com a ANEEL ou oNa
ONSminha opinião, a ANEEL deveria capitanear os esforços

Realizar eventos voltados para a área de segurança no set

Deve-se buscar o desemvolvimento de um canal de comunicaçãoCriar
p comitês virtuais para tal propositvo.
 Seria adequado consultar a equipe do CERT.br, que tem ampla experiência
A ANEEL poderiae reconhecimento
solicitar apoio
internacional
do CERT.br eneste
do CTIR.gov,
assunto.
Entendemos
Não deve haverquepenalidades
é necessárioàquelas
o compartilhamento
empresas que obrigatório
porventura de incidentes
divulguem
Tornar os ocorridos
obrigatório
incidentes nos
de agentes
o compartilhamento queevitando
segurança, atuam
de no setor
incidentes el
a desmoti
ocor
Como sugestão,
O destino pode-se implementar
das informações uma plataforma
devem ser centralizadas em MISP (Malware
instituição Information
A confidencialidade
que terá Sharing
a responsabilidade Platform),
e integridadede da hospedada
manter
informação
os dados em
deve um
serH
anônim
Como fluxo de reporte, teríamos por exemplo:
Agente reporta incidente --> Agente gestor de Segurança Cibernética Pode-seinclui
definir
na base
a criação
de dados
de uma
--> estrutura
Gera-se um derelatório
governança
do e
Para além do compartilhamento de dados necessário à prevenção de ataques cibernéticos, é bastante provável que no fut
É necessário que as empresas envolvidas na cadeia de forn
Informações poderiam, dessa maneira, ser compartilhadas com Sem prejuízodistintos,
três intuitos da seriedade comexigem
os quais a qual eventual troca de in
ações e respostas r
Assim, há, de fato, uma tensão entre a confiança das empr
Existem
Existem dois grupos
muitos de práticas
cuidados que podem
necessários ser utilizadas
com relação paracocompartilhamento de informações:
a eventual A ANEEL poderia reconhecer como investimento, e ressarc
o Compartilhamento de threat intelligence. O objetivo é aumentar a consciência situacional de cada componente do sis
o Report mandatório de incidentes. O objetivo é que um órgão Criar um fórum
A promoção
central (porum permanente
exemplo
ambienteo ONS)para troca
tecnológico
tenha de experiências,
conhecimento
onde esse compartiin
de inc
A realização de seminários e eventos para conscientização
Incentivar um projeto, com a participação do setor, para c
É importante destacar
O compartilhamento inicialmente
dos dados que não
de incidentes deve haver
cibernéticos penalidades àquelas empresas que porventura divulguem os
poderá
As informações devem ser consolidadas em um órgão autônomo A ANEEL e livre
poderia
de intervenção,
solicitar apoio
quedocentraliza
CERT.br eo do
compartilham
CTIR.gov,
A implantação de programa de educação e conscientização dos profissionais
Este órgão poderia
envolvidos
coordenar
em grupos
um fórum
de discussão
permanente
e compar
para
ios iniciais que provavelmente serão marcados por intenso aprendizado que deve ser compartilhado.
Os agentes têm como prática a troca de experiências entre seusA ANEEL poderia ser o órgão coletor de informações e diss
 Quais ferramentas oferecem (tanto no setor elétrico como em qualquer outro setor com infraestruturas críticas)? Quais os
NS poderiam disponibilizar uma plataforma de acesso público onde seria permitido aos agentes o compartilhamento de informações so
ase
eriasempre no escopo
atuar como deda
sponsor ataques cibernéticos
escolha é verificada
e criação desse a participação
ente e canal de grupos
que sugerimos com
acima, presença,
bem como dedistribuição, utilização deque
eventual remuneração ferramen
seja d
ataques cibernéticos é perpetrada por atores organizados em escopo global e não nacional, assim a reação a esta ameaça também te
ispositivo
ia, nos atos
em conjunto comnormativos da ANEEL
outras agências para quede
reguladoras assetores
empresas do setor
críticos, elétrico
subsidiar destinem
a criação deum
umpercentual mínimo da rubrica
centro de recebimento do Progra
e compartilham
ma plataforma de acesso público, por um órgão independente, onde seria permitido aos agentes o compartilhamento de informações

workshops
mação anuaisde
de grupos com participação
discussão de fornecedores
com representantes e agentes
das focando
empresas, em casos
ou mesmo práticos,delições
a realização aprendidas
campanhas e dificuldades
via webnar enfrentadas
e palestras coma p
de auditorias nas plantas (após normatização)
planejamento financeiro envolvido em grandes modernizações
ssão do tema ainda é incipiente, sugerimos a realização de mais Workshops específicos sobre segurança cibernética do setor elétrico.
comunicação entre os agentes, se bem organizada, pode mostrar-se benéfica para a identificação e a prevenção de ataques cibernéti
tratamento e resposta a incidentes dentro do Setor Elétrico Brasileiro poderia ser criado, por um órgão independente, com a finalidad
gue na segunda contribuição devido a limite de caracteres.
eria auxiliar na definição e criação de um órgão centralizador para hospedar o serviço. Além disso, acreditamos fortemente que aqui te
speita a primeira, acreditamos que o reporte para o ONS deve ser realizado através de uma aplicação diferente do MISP, uma vez que
tem, caberia um estudo sobre a possibilidade do órgão Cert.br para centralizar as informações relacionadas ao compartilhamento de i
ue seria possível a criação de um sistema para compartilhamento de informações de ataques, tentativas de ataques ou vulnerabilidad
ssão do tema ainda é incipiente, sugerimos a realização de Workshops específicos sobre segurança cibernética do setor elétrico. Como
oeria criar umapresentada
a resposta
podem
grupo de trabalho
ser discutidas através
ou comitê
à pergunta
de fóruns
para
10, em quediscussões
nãode
ou comitês deve referentes
haver
segurança
à cibersegurança
obrigação com representantes
de compartilhamento
da informação fomentados pelade
designados
informação
ANEEL.
pelos agentes.
entre empresas, o Gru
ANEEL poderia disponibilizar uma ferramenta Web para upload estas informações, liberando acesso a todos os agentes. A confidencia
NEEL pode criar um comitê setorial para discutir temas de segurança da informação, algo semelhante ao que o foi feito na Rede de Inov
explicitado no item anterior, entende-se que a criação de um fórum restrito para troca de informações entre os agentes poderia subsi
po EDP entende que o papel da ANEEL seria o de atuar como agente facilitador, liderando a criação do comitê de colaboração e coope

de um tema sensível, a prática de compartilhamento de informações deve ser suportada por uma entidade isenta e especializada em
oeria
Operador Nacional pela:
ser responsável do Sistema - ONS poderia instituir em centro de tratamento de incidentes para atuar em conjunto com as empres
e manutenção
na questão 14. da plataforma de compartilhamento de informações para apoiar as empresas do setor elétrico;
definição dos requisitos mínimos para formação das equipes de monitoração e combate a incidentes;
ãoum
er de fórum
uma base de conhecimento
recorrente compartilhada
com os líderes de gestão
de cibersegurança deagentes,
dos eventos;onde a agência poderia divulgar suas ações e visão, além de es
o de requisitos técnicos/tecnológicos mínimos para dar suporte ao tema de cyber segurança.

ar ou criar um orgão centralizador, a exemplo do CERT.br e do CTIR.gov que são voltados hoje para o ambiente de internet, de forma q
biente para ocorrer compartilhamento de informações entre as empresas e ser o moderador, com participação ativa dos membros (as
o papel da ANEEL tem que ser o de facilitador desta conduta, propondo ações e indicando caminhos, fazendo os agentes enxergarem
nião, a ANEEL deveria capitanear os esforços que hoje são pulverizados entre várias instituições como ABRATE, ABRAGE, ABRADEE, RE

tos voltados para a área de segurança no setor, ou incluir fórum para este fim nos já existentes.
virtuais para tal propositvo.
Websites (https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp e https://vshow.on24.com/
Transparência na divulgação de vulnerabilidades encontradas em equipamentos Schneider juntamente com a forma de m
Websites (https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp e https://vshow.on24.com/
Não.
Transparência na divulgação de vulnerabilidades encontradas em equipamentos Schneider juntamente com a forma de m
Não.
eria solicitar apoio do CERT.br e do CTIR.gov, para criar um órgão com função de centralizar e compartilhar informações de incidentes
atório o compartilhamento de incidentes ocorridos. O incentivo seria a independência desse órgão em relação à regulação.
alidade e integridade da informação deve ser incluída em regulação.
nir a criação de uma estrutura de governança de segurança cibernética para o setor elétrico, que inclua por exemplo um comitê estraté
Entendemos que o trabalho de inteligência deve ser mantido de modo a incentivar a troca de informações entre empresas
que as empresas
Comoenvolvidas na cadeia
ponto positivo, de fornecimento
a constante de energia elétrica
troca de informações prestem
possibilitará contas a respeito
a adequada respostadas medidascibernéticas,
as ameaças de segurançacolabo
cibern
da seriedade com a qual eventual troca de informações deva ser conduzida, a comunicação entre os agentes, se bem organizada, pod
fato, uma tensão entre a confiança das empresas em divulgar informações confidenciais sobre suas práticas de cibersegurança e a ne

eria reconhecer como investimento, e ressarcir os gastos com a capacitação de pessoal na área de segurança cibernética. Estes gastos

m permanente
um para trocaonde
ambiente tecnológico de experiências, informaçõespossa
esse compartilhamento e práticas de segurança
ser feito de forma cibernética
padronizada,das empresas
segura incluindo ocomo
e colaborativa, exercício de resp
por exempl
de seminários e eventos para conscientização e divulgação do tema no setor também é um exemplo de ação que pode ser desenvolvid
m projeto, com a participação do setor, para criar um Centro de Monitoração Cibernética do Setor Elétrico Brasileiro.
eria solicitar apoio do CERT.br e do CTIR.gov, para criar um órgão com a função de centralizar e compartilhar informações de incidente
oderia coordenar um fórum permanente para troca de experiências, informações e práticas de segurança cibernética, incluindo o exer
mpartilhado.
eria ser o órgão coletor de informações e disseminador de experiências, em conjunto com as entidades representativas dos agentes.
raestruturas críticas)? Quais os pontos positivos decorrentes da troca de informações? Existem pontos negativos?
rtilhamento de informações sobre incidentes em segurança cibernética, além de contribuições para adoção de novas políticas de segu
buição,remuneração
entual utilização deque
ferramentas e membros
seja devida a referidode vários
ente, países,
pela funçãoa Light entende
de gestor queinformações.
dessas além da criação de sistema nacional para troca de

ção a esta ameaça também tem que ser organizada não apenas nacionalmente mais em cooperação em contexto global.
lrecebimento
mínimo da rubrica do Programa dedeP&D
e compartilhamento no desenvolvimento
informações de projetos(CERT
de ataque cibernético relacionados
– centroàde
segurança cibernética,
estudo, resposta uma vez que
e tratamento os novo
de incident
artilhamento de informações sobre incidentes em segurança cibernética, além de contribuições para adoção de novas políticas de seg

daswebnar
via e dificuldades enfrentadas
e palestras coma participação de especialistas. Algumas ações neste sentido já tem sido feitas por alguns especialistas cons

cibernética do setor elétrico. Como resultado, a Aneel poderia produzir um documento de caráter informativo com os principais conc
evenção de ataques cibernéticos no setor. Considerando que qualquer regulamentação se limite à rede operacional dos agentes, e da
independente, com a finalidade de concentrar e compartilhar de forma segura as informações de incidentes de segurança, assim como
itamos fortemente que aqui temos dois assuntos: um relacionado ao reporte de incidentes, o qual é exigido pela proposta do procedim
ferente do MISP, uma vez que o objetivo do MISP é compartilhar informações e não reportar informações sensíveis, como por exempl
das ao compartilhamento de informações sobre vulnerabilidades e, até mesmo, validar as soluções adotadas por cada agente para cor
de ataques ou vulnerabilidades e ameaças detectadas pelas empresas, bem como de ações executadas para mitigar e/ou corrigir o pr
rnética do setor elétrico. Como resultado, a ANEEL poderia produzir um documento de caráter informativo com os principais conceitos
tes designados
rmação pelos agentes.
entre empresas, Informações
o Grupo referentes
Energisa entende queà não
ataques
cabecibernéticos
nenhuma açãoocorridos no Entretanto,
à ANEEL. setor que fossem encaminhadas
de forma à Agência
voluntária as empresa
L.
odos os agentes. A confidencialidade do agente deve ser mantida.
que o foi feito na Rede de Inovação no Setor Elétrico (RISE) da ANEEL, onde foram convidados representantes das empresas do setor e
ntre os agentes poderia subsidiar a cooperação de compartilhamento de informações entre os agentes.
omitê de colaboração e cooperação.

ade isenta e especializada em segurança cibernética, em nível nacional. Esta entidade poderia estabelecer acordos formais de colabora
r em conjunto com as empresas em caso de ataque cibernético e, inclusive com as demais transmissoras com operação integrada e po

suas ações e visão, além de escutar dos representantes os seus desafios e pensamentos sobre a segurança do sistema elétrico naciona

biente de internet, de forma que as empresas possam compartilhar informações de forma segura, preservando o anonimato.
pação ativa dos membros (as perguntas e reportes podem ser de forma anônima, mas as respostas são obrigatoriamente nominal).
zendo os agentes enxergarem que todos sairão ganhando. A imposição de obrigatoriedade de compartilhamento de informações tem
BRATE, ABRAGE, ABRADEE, RENASIC, UTC, ONS, CIGRÉ, CD-CIBER, EB, dentre outros, em sua relevância para o setor elétrico. Vejo e pa

p e https://vshow.on24.com/vshow/SchneiderCyberVA/#home).
untamente com a forma de mitigar/corrigir. A Academia Virtual de Cibersegurança da Schneider Electric é um portal que fornece conte
p e https://vshow.on24.com/vshow/SchneiderCyberVA/#home).
untamente com a forma de mitigar/corrigir. A Academia Virtual de Cibersegurança da Schneider Electric é um portal que fornece conte
har informações de incidentes de segurança cibernética no setor.
lação à regulação.

or exemplo um comitê estratégico e consultivo, com câmeras temáticas para as áreas de operação de sistema, geração distribuída, su
e informações entre empresas do grupo, bem como entre empresas de diferentes setores, principalmente no setor elétrico. Nesse sen
sameaças
medidascibernéticas,
de segurançacolaboração
cibernética na
tomadas para evitar
identificação danos eactors,
nos threat ataques à infraestrutura.
identificação No entanto,
e mitigação não se nega também que há um
de riscos.
entes, se bem organizada, pode mostrar-se benéfica para a identificação e a prevenção de ataques cibernéticos no setor. Seguindo a n
ticas de cibersegurança e a necessidade de accountability dessas práticas por parte do poder público. Porém, há também mecanismos

ança cibernética. Estes gastos poderiam ser com treinamentos formais e participação em seminários e conferências onde fosse enfoca

as incluindo ocomo
olaborativa, exercício de resposta
por exemplo a ataques.
o MISP, é uma Nesse fórum
ação que seriam
pode incentivados os trabalhos sobre a influência da segurança cibernéti
ser criada.
ação que pode ser desenvolvida, podendo, inclusive, permitir a antecipação de ajustes regulatórios que se façam necessários.
o Brasileiro.
lhar informações de incidentes de segurança cibernética no setor, tornando obrigatório o compartilhamento de incidentes ocorridos.
a cibernética, incluindo o exercício de resposta a ataques para as empresas do setor, como, por exemplo: GridEx – NERC's Grid Security

epresentativas dos agentes.

 negativos?
doção de novas políticas de segurança, incluindo a opção de manter dados sigilosos com o intuito de garantir a privacidade do declaran
sistema nacional para troca de informações, de ataques, tentativas de ataques ou vulnerabilidades e ameaças detectadas pelas empr

m contexto global.
bernética,
sposta uma vez que
e tratamento os novos sistemas
de incidentes e equipamentos
de segurança), a exemploagregam maior
do CERT.br, vulnerabilidade
focado e exclusivode software
para e hardware,
os setores críticos. trazendo riscos de
adoção de novas políticas de segurança, incluindo a opção de manter dados sigilosos com o intuito de garantir a privacidade do declara

tas por alguns especialistas considerando discussões técnicas e não propagandas das empresas.

ormativo com os principais conceitos, riscos, ameaças, medidas de proteção e boas práticas internacionais para ampla divulgação e or
de operacional dos agentes, e dado o alto nível técnico do tema, entendemos que será relevante a participação do ONS na coordenaçã
dentes de segurança, assim como as soluções adotadas e coordenar a resposta a incidentes mais graves que afetem a estabilidade do S
xigido pela proposta do procedimento de rede, e outro relacionado ao compartilhamento de vulnerabilidades e soluções adotadas.
ões sensíveis, como por exemplo um ataque sofrido.
otadas por cada agente para correção das fragilidades identificadas pelo agente que reportou.
as para mitigar e/ou corrigir o problema, onde as empresas pudessem escolher se identificar ou não. Também poderia ser criado um fó
ativo com os principais conceitos, riscos, ameaças, medidas de proteção e boas práticas internacionais para ampla divulgação e orienta
ossem encaminhadas
de forma à Agência
voluntária as Reguladora
empresas de formaprocessos
poderão organizar anônima pelos agentes seriam difundidas
de compartilhamento de alertaseediscutidas
ameaças. de forma colaborativa ent

ntantes das empresas do setor elétrico, da indústria e de institutos de pesquisa e universidades, para promover ambientes de inovaçã

cer acordos formais de colaboração com entidades já existentes para este fim como o Cert.Br, que reúne também informações de inci
ras com operação integrada e posterior a isso, divulgar os os indicadores de comprometimento sem a identificação da empresa, para q

nça do sistema elétrico nacional.

servando o anonimato.
o obrigatoriamente nominal).
tilhamento de informações tem grandes chances de tornar o procedimento ineficaz. O agente tem que sentir que terá benefícios com
a para o setor elétrico. Vejo e participo de alguns dos grupos de trabalho acima e vejo muitos trabalhos repetidos. O Brasil precisa ter u

ic é um portal que fornece conteúdo educacional de cibersegurança e é uma plataforma para interação contínua por meio de webinar
ic é um portal que fornece conteúdo educacional de cibersegurança e é uma plataforma para interação contínua por meio de webinar
 sistema, geração distribuída, subestações, usinas, etc.,para interfacear com outras áreas de infraestruturas críticas nacionais, e uma p
ente no setor elétrico. Nesse sentido, disponibilizamos times dedicados ao trabalho de threat intelligence com foco tanto em TI, quant
, não se nega também que há um conflito entre a divulgação dessas informações e a própria segurança dos sistemas, já que indivíduos
cos.
ernéticos no setor. Seguindo a nossa recomendação de que qualquer regulamentação se limite à rede operacional dos agentes, e dado
Porém, há também mecanismos institucionais capazes de gerar esse tipo de confiança e de que equilibrar a necessidade de transparên

conferências onde fosse enfocado o compartilhamento de informações das empresas sobre o tema segurança cibernética.

nfluência da segurança cibernética no negócio das empresas de energia, como criar métricas de qualidade da segurança cibernética ba
e se façam necessários.

mento de incidentes ocorridos.

lo: GridEx – NERC's Grid Security Exercise (GridEx) e Exercício Guardião Cibernético, coordenado pelo Comando de Defesa Cibernética
arantir a privacidade do declarante. O compartilhamento de informações deve ser incentivado, e a adoção dos procedimentos mínimo
ameaças detectadas pelas empresas, ações executadas para mitigar e/ou corrigir o problema, é fundamental a inserção deste grupo e

etores
e hardware,
críticos. trazendo riscos de ataques cibernéticos bem sucedidos.
garantir a privacidade do declarante. O compartilhamento de informações deve ser incentivado, e a adoção dos procedimentos mínim

nais para ampla divulgação e orientação às empresas.

ticipação do ONS na coordenação de ações que tenham por objetivo monitorar o nível geral de segurança do SIN.
s que afetem a estabilidade do Sistema Interligado Nacional - SIN.
ilidades e soluções adotadas.

ambém poderia ser criado um fórum permanente para troca de experiências, informações e práticas de segurança cibernética incluind
para ampla divulgação e orientação às empresas.
utidas de forma colaborativa entre os especialistas participantes deste grupo de trabalho. Discussões e conclusões obtidas neste fórum

promover ambientes de inovação propícios a criação de produtos tecnológicos com inserção no mercado.

úne também informações de incidentes de outras empresas de outros setores, mas que podem indicar novas ameaças e vulnerabilidad
identificação da empresa, para que as demais empresas do setor possam tomar medidas preventivas. A promoção de fóruns de boas p

e sentir que terá benefícios com o compartilhamento e não sanções.

s repetidos. O Brasil precisa ter um organismo único que reúna e administre estes esforços independentes, assim teremos todos o mes

o contínua por meio de webinars ao vivo, bate-papos com especialistas, documentação, vídeos e perguntas e respostas contínuas.
o contínua por meio de webinars ao vivo, bate-papos com especialistas, documentação, vídeos e perguntas e respostas contínuas.
 turas críticas nacionais, e uma plataforma de gestão e compartilhamento entre os agentes (MISP) para lidar com os incidentes, como
nce com foco tanto em TI, quanto com foco em TO, comtemplando os setores industrial e elétrico.
a dos sistemas, já que indivíduos ou grupos mal intencionados poderiam se utilizar dessas mesmas informações estratégicas para coor
operacional dos agentes, e dado o alto nível técnico do tema, entendemos que será relevante a participação do ONS na coordenação
brar a necessidade de transparência com a segurança das informações. Uma alternativa viável seria a criação de um comitê ou conselh

egurança cibernética.

ade da segurança cibernética baseadas no impacto no setor elétrico.

Comando de Defesa Cibernética, no Brasil.

oção dos procedimentos mínimos de segurança (definidos por regulamento) por parte dos agentes deve ser fiscalizada periodicamente
mental a inserção deste grupo em um contexto mundial.

doção dos procedimentos mínimos de segurança (definidos por regulamento) por parte dos agentes deve ser fiscalizada periodicamen

nça do SIN.

de segurança cibernética incluindo o exercício de resposta a ataques para as empresas do setor. Exemplos: GridEx – NERC's Grid Securi

conclusões obtidas neste fórum poderiam até a vir basear as futuras normas aplicadas ao setor e também poderiam contribuir para a

novas ameaças e vulnerabilidades às empresas do setor elétrico.

A promoção de fóruns de boas práticas com apresentação de cases de ataques sofridos e novas soluções tecnológicas por parte dos fo

ntes, assim teremos todos o mesmo rumo e teremos um trabalho mais robusto e com menos concorrência.

untas e respostas contínuas.

untas e respostas contínuas.
a lidar com os incidentes, como mencionado na resposta 10.
ormações estratégicas para coordenar ações maliciosas que coloquem em risco tanto o fornecimento do serviço como o fluxo de inform
ipação do ONS na coordenação de ações que tenham por objetivo monitorar o nível geral de segurança do SIN.
riação de um comitê ou conselho de cibersegurança no âmbito da agência, regido por regras de confidencialidade, ao qual as empresa
ve ser fiscalizada periodicamente.

eve ser fiscalizada periodicamente.

plos: GridEx – NERC's Grid Security Exercise (GridEx) e Exercício Guardião Cibernético, coordenado pelo Comando de Defesa Cibernétic

bém poderiam contribuir para atualização destas ao longo do tempo.

ões tecnológicas por parte dos fornecedores.

do serviço como o fluxo de informações.

dencialidade, ao qual as empresas deveriam responder. A quantidade reduzida de pessoas e a confidencialidade até certo ponto pode
o Comando de Defesa Cibernética.
ncialidade até certo ponto pode gerar maiores incentivos à abertura controlada de suas informações.
Tipo de Agente O grupo tem presença intePolíticas e práticas de segu
Agente prestador de s #REF! Não 16
Outros #REF! Sim 14 Normas, padrões e certifica
Fornecedor de Tecnol #REF! Sem resposta 0 Práticas internas
Operador #REF!
Associação #REF!
#REF!

Tipo de Agente

Abordagem adequada para eventual regulação

Prescritiva #REF!
Sem resposta #REF!
Autorregulação #REF!
Orientativa #REF!
Prescritiva; Autorreg #REF!

Critérios de proporcionalidade para diferenciação de requisitos obrigatórios entre empreendimentos

Conexão #REF!
Criticidade e segment #REF!
Único #REF!
Sem resposta #REF!
Criticidade #REF!
Troca de Informações
Não 11
Sem resposta 0
Sim 17

Internamente Err:504
Sem resposta Err:504
Entre empresas Err:504
Centralizada Err:504

Centralizada #REF!
Sem resposta #REF!
Entre empresas #REF!

Centralizada Sem resposta Entre empresas

11

Não Sem resposta Internamente Sem resposta En

 Políticas e práticas de segurança cibernHá diferença de políticas e práticas de segurança cibernética aplicadas no Brasil e no exter

Err:504 Não 5
Err:504 Sim 9

Presença Internacional

Não 16
Sem respos 16
Sim 14 Normas, pa 12
Não 5 Práticas in 2
Sim 9

ntre empreendimentos
ntralizada Sem resposta Entre empresas

11

resposta Internamente Sem resposta Entre empresas Centralizada

das no Brasil e no exterior?